La transmission électronique de Shimano pourrait être piratée à distance sans laisser de trace

Une récente étude a révélé que les transmissions électroniques de Shimano peuvent être piratées et bloquées à distance sans laisser de trace. Il suffit d'un appareil coûtant moins de 200€ pour le faire. Cette découverte, ne représente pas un risque pour les cyclistes et Shimano a déjà annoncé une mise à jour du firmware visant à éliminer cette vulnérabilité.

Les transmissions restent entièrement sécurisées

Des chercheurs de l'Université de Northeastern et de l'Université de Californie, San Diego, ont identifié des vulnérabilités dans les modèles Di2 105 et DURA-ACE du fabricant, qui permettent à une personne de manipuler les changements de vitesse d'un vélo à des distances allant jusqu'à 10 mètres.

Les transmissions électroniques modernes sont conçues avec des systèmes de cryptage avancés pour garantir qu'il n'y ait pas d'interférences ni de défaillances pendant leur fonctionnement. Depuis leur introduction dans le monde du cyclisme, il n'y a pas eu d'incidents remettant en question leur fiabilité. Cependant, les chercheurs des universités aux États-Unis ont découvert une vulnérabilité qui pourrait être exploitée par des personnes mal intentionnées.

L'étude révèle que, en utilisant un appareil peu coûteux, il serait possible d'intervenir dans le système de changement de vitesse d'un vélo équipé d'une transmission électronique, en modifiant ou bloquant les vitesses sans que le cycliste ait le contrôle. Ce type d'attaque pourrait être utilisé pour obtenir un avantage dans les compétitions, ce qui a été décrit comme une nouvelle forme de dopage technologique, bien qu'il puisse également affecter les amateurs de cyclisme qui les utilisent sur leurs vélos.

En utilisant un logiciel défini par radio (SDR) peu coûteux, les universitaires ont réussi à enregistrer et reproduire des signaux entre les leviers de changement et les dérailleurs, ce qui leur a permis de démontrer qu'il était possible de réaliser des attaques de blocage sans avoir besoin d'extraire des données cryptographiques. La simplicité de cette technique, qui peut être réalisée avec un appareil coûtant moins de 200 euros, souligne la facilité avec laquelle un cybercriminel pourrait altérer les performances d'un cycliste. L'attaque consiste à capturer le signal émis lors d'un changement de vitesse et à le reproduire sur le vélo, peu importe la vitesse actuelle, ce qui nécessite de capturer un signal de montée et de descente de vitesse.

Les auteurs de l'étude, Maryam Motallebighomi, Earlence Fernandes et Aanjhan Ranganathan, ont alerté sur le risque de changements de vitesse non autorisés et non contrôlés qui pourraient se produire sans que le cycliste ait le contrôle sur le système. L'attaque implique de capturer un signal lors d'un changement de vitesse et de le reproduire ultérieurement, ce qui pourrait entraîner des changements inattendus et non désirés.

Malgré la gravité de la découverte, les experts soulignent que, dans des conditions normales, le risque de subir ce type d'attaque est extrêmement faible. De plus, les entreprises responsables de la fabrication de ces systèmes travaillent déjà sur des correctifs de sécurité pour atténuer toute vulnérabilité potentielle des systèmes.

Shimano a déjà trouvé une solution

En réponse à la vulnérabilité mise en évidence par l'étude, Shimano a annoncé une mise à jour du firmware visant à éliminer ces vulnérabilités. La société, qui a collaboré avec les chercheurs pour développer ce correctif, a commencé à utiliser cette solution sur ses équipements d'élite. De plus, elle a assuré qu'elle serait également disponible pour tous les cyclistes d'ici la fin août.

Les experts ont déjà assuré que la sécurité des transmissions électroniques reste élevée et qu'il n'y a pas lieu de s'alarmer. Selon leurs constatations, ce type d'attaque est très spécifique et difficile à réaliser sans une connaissance approfondie de la technologie, donc les cyclistes ne devraient pas s'en inquiéter.

C'est pourquoi, alors que les marques recherchent une solution définitive pour renforcer la sécurité, les cyclistes peuvent continuer à utiliser leurs systèmes électroniques en toute confiance, sachant que les chances qu'une telle attaque se produise sont pratiquement inexistantes au quotidien lorsqu'ils sortent avec leur vélo.

En plus des efforts pour améliorer la sécurité, l'étude a également souligné l'importance de la collaboration entre les fabricants et les experts en cybersécurité pour aborder de manière proactive les éventuelles vulnérabilités des technologies émergentes. Les chercheurs ont suggéré de mettre en place des systèmes de détection d'intrusions en temps réel et d'utiliser des algorithmes de cryptage encore plus robustes comme mesures préventives supplémentaires. Cela protégerait non seulement les cyclistes professionnels et d'élite, mais aussi quiconque utilise cette transmission.