Ce kit logiciel, largement intégré dans les systèmes d'infodivertissement de constructeurs automobiles majeurs comme Mercedes-Benz, Volkswagen et Skoda, présente quatre failles critiques. Toutes concernent des défauts dans la gestion de la mémoire, des validations insuffisantes lors des connexions ou encore des erreurs de paramétrage interne. Exploitées ensemble, ces vulnérabilités pourraient permettre une compromission complète du système embarqué.

L'attaque, bien que techniquement complexe, n'est pas de l'ordre de la science-fiction. Il suffirait pour un individu malveillant de se trouver à quelques mètres d'un véhicule dont le Bluetooth est en mode appairage. Une simple demande de jumelage, dans les bonnes conditions, lui donnerait alors accès à l'interface logicielle du système multimédia.

Une fois à l'intérieur, les conséquences peuvent s'enchaîner rapidement : géolocalisation en temps réel, accès à l'historique des trajets, consultation du répertoire téléphonique ou écoute discrète des conversations. Pire encore, si l'architecture électronique du véhicule est mal segmentée, il deviendrait théoriquement possible de communiquer avec le bus CAN, la colonne vertébrale numérique du véhicule. L'escalade vers des fonctions critiques comme le moteur ou les freins n'est alors plus exclue.

Certes, le scénario d'attaque reste contraint : proximité immédiate du véhicule, activation du mode de couplage, confirmation manuelle sur l'écran embarqué... Mais ces conditions, loin d'être irréalistes, pourraient se présenter dans des parkings, des stations-service ou lors de manipulations banales de l'utilisateur. Dans ces contextes, la menace pourrait facilement passer inaperçue.

Les failles de PerfektBlue ont été signalées de manière responsable dès mai 2024, et des correctifs ont été fournis dès septembre par OpenSynergy. Cependant, la mise à jour des véhicules dépend de processus longs et souvent manuels, en particulier lors des entretiens en atelier. Contrairement aux smartphones ou aux ordinateurs, la majorité des voitures ne sont pas connectées en permanence, ce qui rend la diffusion des correctifs lente et incomplète.

L'affaire PerfektBlue illustre les tensions croissantes entre innovation numérique et inertie industrielle dans le secteur automobile. À mesure que les voitures deviennent des ordinateurs sur roues, la cybersécurité embarquée devient un impératif stratégique, et non plus un simple sujet de conformité. Si les véhicules deviennent plus intelligents, encore faut-il qu'ils puissent se défendre seuls.