Le Comptoir Sécu

Parlons cybersécurité...autour d'un verre!

Goodlock : Le cauchemar des voleurs... et de votre garagiste

Je suis récemment tombé sur un projet Kickstarter assez particulier : Goodlock.

Qu’est-ce que ça fait concrètement ?

Vous avez, je pense, tous vu au moins une fois dans un film ou un jeu vidéo un protagoniste faire une suite d’actions anodine, comme appuyer sur un bouton, déplacer un chandelier, soulever un livre de la bibliothèque, et la comme par magie un passage secret s’ouvre ! C’est une forme de mot de passe. Il faut non seulement savoir que ces leviers cachés existent, mais aussi les actionner dans le bon ordre pour ouvrir l’accès.

hidden-bookshelf

C’est à peu de choses prêtes ce que nous propose Goodlock pour notre voiture.

Votre voiture dispose d’une multitude de boutons et de levier. Que ce soit le klaxon, le réglage des phares, des essais glaces, du chauffage…

car-combination

L’idée est de s’en servir pour définir une séquence secrète. Par exemple :

  1. J’allume le clignotant gauche
  2. J’augmente le volume de la radio
  3. Je passe en pleins phares

Tant que cette suite d’action n’est pas réalisée, dans l’ordre, la voiture refuse de démarrer. Le système permet de couper le circuit électrique à plusieurs endroits clés du système pour être sûr que le voleur ne puisse pas court-circuiter le système de sécurité facilement.

goodlock-actions

Les mots de passe, c’est comme les sous-vêtements, on ne les partage pas, quoi que…

Le système se veut le plus proche possible d’un mot de passe, et un mot de passe, ça ne se prête pas ! Concernant Gmail ou Facebook, il n’y a aucune raison de fournir votre mot de passe à quelqu’un, pouvez-vous en dire de même de votre voiture ?

Qui n’a jamais eu besoin de prêter sa voiture à un ami ? Qui est capable ici de réparer sa voiture tout seul, quel que soit le problème sans jamais avoir à la confier à un garagiste ?

Pour tous ces moments, vous devrez soit :

  • Désactiver la protection (si cela est possible), ou changer le code le temps du prêt
  • Fournir le code

Je pense que les gens choisirons par flemme la seconde solution.

Mais après tout, est-ce vraiment catastrophique ? Nous fournissons déjà les clés à ces personnes, nous les considérons donc de confiance.

Votre mot de passe résistera-t-il aux attaques ?

Le site annonce près de 13 000 possibilités. Dans ces 13 000 possibilités, il inclut des actions qui à mon avis seront très peu choisies, je pense au klaxon, aux warnings… Les gens préfèreront naturellement les actions qui ont peu d’impact, comme le changement du type de phare, l’appui sur une pédale, le changement du volume de la radio.

Bon, je pense malgré tout qu’il n’y aura pas de “codes évidents” de façon aussi prononcée qu’avec les mots de passe, pas de “password” ou “123456” évidents à première vue, cela devrait donc rester correcte.

Une attaque vieille comme le monde pour casser un mot de passe consiste à regarder l’utilisateur le taper et retenir ce qu’il frappe. Si ce n’est pas toujours évident avec un clavier, c’est enfantin avec le tableau de bord. Pensez à vérifier dans le rétro viseur que personne ne vous observe !

Car-theft_piping

Enfin, n’oubliez pas votre mot de passe. À première vue, l’équivalent de la réinitialisation par mail consistera… à passer 3 heures sous le capot à enlever le dispositif !

Le système par définition ne peut être rapide à neutraliser, sinon les attaquants ne s’attarderont pas à chercher le code et passeront directement à l’étape sabotage.

Au final, pour ou contre ?

Il est difficile d’être contre une nouvelle mesure de sécurité.

Je ne sais pas sur quel pied danser pour Goodlock. D’un côté je me bat régulièrement contre le “ce que je connais” comme facteur d’authentification.

Nombreux sont ceux qui comme moi s’échinent à répéter que les mots de passe doivent mourir, qu’il faut trouver une alternative plus robuste, moins contraignante pour l’utilisateur. Je ne vois pas pourquoi ce dont je milite pour mon ordinateur ne s’appliquerait pas pour ma voiture.

Je préfère de loin l’approche d’un token. Nous avons de toute façon des clés, un porteclé de plus ou de moins ne nous fera pas de mal. Le token a le bon goût d’être prêtable, à votre ami ou à votre garagiste. Il est possible d’en avoir un second de secours chez vous au cas ou vous perdiez vos clés.

Mais quand on y pense, nous avons déjà une authentification par token : nos clés.

Le problème est dans ce système, les vols de voitures classiques se basent sur des contournement de cette authentification. Je pense notamment aux apprentis électriciens qui font contacte entre quelques fils bien précis pour allumer le moteur, ou les technophiles qui utilisent les passe partout des garagistes.

Le problème reside dans les systèmes de sécurité déjà en place dans nos voitures, qui sont au raz des pâquerette niveau efficacité.

Entre nous, il suffit aussi de vous attendre un soir ou vous prenez la voiture seule et une discussion en tête-à-tête avec un couteau ou une barre à mine devrait contourner toutes les mesures de sécurité du monde de toute façon…

Il restera également toujours possible pour des voitures de luxe de simplement les embarquer dans un semi-remorque pour supprimer les sécurités à l’abri des regards, à des kilomètres du lieu du vol.

Aucun système n’est infaillible, peut être que Goodlock apporte une couche supplémentaire suffisament robuste pour décourager le voleur moyen.

Il faut savoir contre quel risque nous sommes prêts à nous protéger, Goodlock est-il selon-vous le meilleur rapport sécurité / confort d’utilisation ?