Des chercheurs en sécurité ont découvert de graves vulnérabilités dans la Nissan Leaf 2020, montrant comment la voiture peut être suivie à distance, surveillée et contrôlée physiquement dans le cadre d'une escalade inquiétante, y compris son système de direction.

La démonstration effectuée par l'entreprise hongroise PCAutomotive lors de la conférence Black Hat Asia 2025 a révélé que l'attaque ne nécessitait pas de matériel sophistiqué. Au lieu de cela, l'équipe a utilisé des outils facilement disponibles et une compréhension experte du logiciel de la Leaf pour compromettre le véhicule.

‘Hacked by PCAutomotive’ (piraté par PCAutomotive)’

En passant par le système d'infodivertissement de la voiture, les chercheurs ont commencé par un exploit Bluetooth, se sont déplacés latéralement dans les réseaux internes et ont finalement établi un contrôle permanent par le biais de la connexion cellulaire du véhicule. Cela leur a permis d'avoir un accès complet à la voiture via l'internet.

Lors d'une démonstration en direct, les pirates ont fait preuve d'un niveau d'accès effrayant. Ils ont localisé le véhicule par GPS, détourné l'affichage du tableau de bord avec une bannière ‘Hacked by PCAutomotive’ et utilisé le microphone de bord pour enregistrer des conversations, qu'ils ont ensuite rediffusées sur les haut-parleurs du véhicule - tout cela sans avoir besoin de se trouver physiquement à proximité de la voiture.

L'intrusion est allée plus loin. Les chercheurs ont manipulé des éléments physiques : rétroviseurs, vitres, lumières, essuie-glaces, serrures et klaxon. Plus inquiétant encore, ils ont tourné le volant à distance lorsque la voiture était garée et en mouvement. Si l'accélérateur et le frein sont restés hors de portée, la capacité d'influencer la direction à elle seule soulève de profondes questions sur la sécurité du conducteur.

Sollicité pour un commentaire, Nissan s'est montré peu rassurant. “PCAutomotive a contacté Nissan au sujet de ses recherches”, a déclaré un porte-parole. “Bien que nous refusions de divulguer des contre-mesures spécifiques ou des détails pour des raisons de sécurité, pour la sécurité et la tranquillité d'esprit de nos clients, nous continuerons à développer et à déployer des technologies pour lutter contre des cyber-attaques de plus en plus sophistiquées.’

Cette imprécision n'est pas passée inaperçue. Le chercheur principal de PCAutomotive, Danila Parnishchev, a déclaré que l'entreprise n'avait reçu aucune indication que les vulnérabilités avaient été corrigées. “Nous serions heureux de partager ces détails dans le cas contraire”, a-t-il ajouté.

Manque d'expérience en matière de logiciels ?

Cet épisode met en lumière un problème persistant dans la fabrication des véhicules modernes : les constructeurs automobiles traditionnels construisent de plus en plus de véhicules connectés, dotés de nombreux logiciels, sans disposer de l'expertise correspondante en matière de cybersécurité. La surface d'attaque a augmenté, mais les défenses n'ont pas suivi.

Ce n'est pas la première fois que la Leaf est confrontée à l'insécurité. En 2016, des chercheurs ont exploité des failles dans son application compagnon pour modifier les paramètres de climatisation à distance. L'année précédente, un piratage distinct d'une Jeep Cherokee a permis à des attaquants de désactiver la transmission de la voiture sur une autoroute - une brèche qui a entraîné le rappel de 1,4 million de véhicules.

Pour les conducteurs de la Nissan Leaf, et pour quiconque se trouve au volant d'un véhicule connecté moderne, la démonstration rappelle brutalement que plus la voiture est pilotée par un logiciel, plus son contrôle peut être mis en jeu.