Travaillant comme consultants pour la société Inversepath, Andrea Barisani et Daniele Bianco vont donner des sueurs froides aux automobilistes qui croient dur comme fer aux données affichées sur leur récepteur GPS, qui leur signale bouchons, travaux ou encore accidents sur leur parcour.
Des personnes malveillantes pourraient en effet leur envoyer de fausses alertes sur le trafic.
Quelques mois après une première démonstration faite au salon Cansecwest, ces deux chercheurs ont enfoncé le clou lors de la conférence sur la sécurité Black Hat, organisée à Las Vegas la semaine dernière.
Ils ont prouvé qu’il était possible de transmettre de fausses informations sur l’état du trafic et la météo.
Leur démonstration ne remet pas en cause les GPS eux-mêmes mais la technologie RDS-TMC (radio data system-traffic message channel).
Ce standard est employé depuis plusieurs années par les radios FM européennes (et depuis plus récemment aux Etats-Unis) pour inclure dans leurs transmissions des données sur le trafic.
Premièrement, la diffusion étant analogique, elle est plus facile à intercepter qu’une diffusion numérique.
Deuxièmement, le RDS ne requiert pas de système d’authentification des données.
Il est donc possible d’intercepter le flux officiel en balayant la bande FM pour le modifier et, ensuite, de le réémettre dans un rayon de 16 kilomètres.
«Un procédé à la portée de presque tout le monde car nous avons utilisé des appareils et des logiciels disponibles dans le commerce, notamment un encodeur RDS qui coûte 40 euros», a indiqué Andrea Barisani à 01net.
Résultat, une personne malintentionnée et située près de différents axes routiers pourrait semer la panique en émettant de fausses alertes : fermeture d’un tunnel ou d’une bretelle de sortie, accident, embouteillage, etc.
«Nous sommes en désaccord complet avec ce consortium et nous le démontrons une nouvelle fois », insiste le chercheur.
Pour lui, la sécurité du standard doit être renforcée par un mécanisme d’authentification et un chiffrement des données.
Fanch