Un chercheur affirme avoir réussi à pirater des feux de circulation
Le chercheur en sécurité informatique Andrew Lemon a découvert qu’il était possible de modifier le « timing » de certains feux de circulation, ce qui pourrait entraîner des embouteillages et des accidents.
Une faille informatique dans un gestionnaire de feux tricolores. C’est l’étonnante découverte d’Andrew Lemon, un chercheur en sécurité informatique. Dans un premier billet de blog, relevé par le site spécialisé Techcrunch, il soulignait que cette vulnérabilité pourrait permettre à des pirates de modifier les feux et de créer des embouteillages.
Après avoir analysé le contrôleur « Intellight X-1 » (qui contrôle les feux de circulation en question), Andrew Lemon a constaté que l’interface Web de l’appareil, notamment déployé aux États-Unis, ne nécessitait aucune authentification, permettant à n’importe qui d’en prendre le contrôle total.
« Je n’arrivais pas à y croire », a-t-il déclaré à Techcrunch. « J’étais choqué qu’un paramètre aussi évident puisse passer inaperçu. »
Bien qu’il soit impossible de mettre tous les feux au vert simultanément – en raison d’un dispositif de sécurité appelé Malfunction Management Unit (MMU) – le chercheur explique qu’il est possible de modifier « le timing » des feux de circulation.
Ainsi, « si vous voulez régler la synchronisation des feux à trois minutes dans un sens et trois secondes dans l’autre (…) cela risque de créer des embouteillages ». Une trentaine de feux tricolores seraient exposés à cette faille informatique.
Appareils « en fin de vie »
Andrew Lemon a tenté de contacter Q-Free, la société américaine qui a conçu l’appareil, pour signaler la faille. En réponse, il a reçu une lettre légale lui demandant de ne pas publier les détails de la vulnérabilité, invoquant des raisons de sécurité.
S’adressant à Techcrunch, Q-Free a déclaré que le contrôleur en question n’était plus produit depuis près d’une décennie, mais a encouragé les clients utilisant encore les appareils obsolètes à les contacter pour obtenir des conseils.
Au cours de ses recherches, Andrew Lemon a également découvert des vulnérabilités chez d’autres fabricants de gestionnaires de feux tricolores. En particulier, la société américaine « Econolite », qui utilise un protocole potentiellement vulnérable appelé NTCIP.
Tout comme Q-Free, Econolite a confirmé que les appareils testés par Lemon étaient en fin de vie depuis plusieurs années et a recommandé leur remplacement par des modèles plus récents.
Ces failles de sécurité sont d’autant plus inquiétantes que la technologie V2X (Vehicle-to-Everything) est actuellement testée aux États-Unis et au Canada. Appliquée aux feux de circulation, aux voitures, aux cyclistes ou encore aux piétons, elle doit permettre d’optimiser la fluidité du trafic et de réduire la congestion urbaine. Mais son déploiement pourrait être ralenti si des failles sont constatées.