Ce capteur discret caché dans vos pneus permet de suivre vos déplacements à votre insu, selon des chercheurs
Un système obligatoire dans vos roues… et pourtant personne n’en parle
Depuis la fin des années 2000, chaque voiture neuve vendue en France est équipée d’un dispositif que la plupart des conducteurs ignorent totalement. Il ne ressemble à rien, ne fait aucun bruit, et ne clignote jamais sur votre tableau de bord tant que tout va bien. Pourtant, il émet en permanence des signaux radio. Son nom : le TPMS, ou Tire Pressure Monitoring System, littéralement « système de surveillance de la pression des pneus ».
Sa mission officielle est simple et utile : alerter le conducteur quand un pneu se dégonfle. Mais selon une étude publiée par l’IMDEA Networks Institute, un institut de recherche européen spécialisé dans les réseaux sans fil, ce petit capteur discret pourrait bien avoir une tout autre utilisation — et pas celle que l’on attendait.
Plus de six millions de signaux interceptés en dix semaines
Pour démontrer la faille, les chercheurs n’ont pas eu besoin de matériel digne d’un film d’espionnage. Cinq récepteurs radio basiques — un simple dongle RTL-SDR branché sur un Raspberry Pi — ont été installés aux abords de routes et de parkings proches de leur lieu de travail. Coût total de l’installation : environ 100 dollars, soit moins de 100 euros par point d’écoute.
Résultat en dix semaines à peine : plus de six millions de messages radio captés, provenant de plus de 20 000 véhicules différents. Les signaux étaient lisibles à plus de 50 mètres, à travers des murs, sans ligne de vue directe, et même sur des voitures en mouvement. Aucun piratage, aucune complicité constructeur. Juste des ondes radio qui voyagent librement dans l’air — et que n’importe qui, avec le bon équipement, peut intercepter.
L’identifiant caché que votre voiture diffuse en clair
Le problème ne vient pas de ce que le capteur mesure — la pression et la température des pneus — mais de comment il transmet ces données. Chaque capteur TPMS direct contient un identifiant unique, une sorte d’empreinte digitale électronique propre à votre véhicule. Cet identifiant est transmis en clair, sans aucun chiffrement, à intervalles réguliers.
Autrement dit : votre voiture se présente d’elle-même à chaque passage, comme si elle criait son numéro de série à la cantonade. Et contrairement à une plaque d’immatriculation, personne ne la voit — mais n’importe qui disposant d’un récepteur peut l’entendre. Certains capteurs continuent même d’émettre toutes les heures lorsque la voiture est à l’arrêt, gonflant encore davantage la quantité d’informations disponibles sur vos habitudes.
Comme l’explique le professeur Domenico Giustiniano, responsable de l’étude à l’IMDEA Networks Institute : « Nos résultats montrent que ces signaux de capteurs de pneus peuvent être utilisés pour suivre des véhicules et apprendre leurs schémas de déplacement. Un réseau de récepteurs sans fil peu coûteux pourrait surveiller discrètement les habitudes des voitures dans des environnements réels. De telles informations pourraient révéler les routines quotidiennes, comme les heures d’arrivée au travail ou les habitudes de déplacement. »
Ils ont reconstitué vos horaires de travail… et vos semaines de vacances
Pour mesurer concrètement jusqu’où peut aller cette surveillance passive, les chercheurs ont suivi plusieurs véhicules volontaires sur la durée. Les résultats sont troublants de précision. En croisant les identifiants captés jour après jour, ils ont réussi à dresser des portraits de vie détaillés sans jamais accéder à un GPS, sans caméra, sans aucune donnée personnelle nominative.
À lire aussi
Une voiture apparaissant chaque matin en semaine vers 8h et repartant vers 17h : manifestement un salarié aux horaires fixes. La même voiture absente certains vendredis : une journée de télétravail. Une semaine entière sans signal : des vacances, ou un déplacement professionnel prolongé. Un autre véhicule présent uniquement quelques matinées par semaine : probablement un temps partiel. Les capteurs de pneus, conçus pour alerter d’un sous-gonflage, venaient de cartographier une vie quotidienne entière.
Et ce n’est pas tout. Les messages TPMS incluent également des données de pression, qui permettent d’estimer le type de véhicule — ou même la charge approximative d’un poids lourd en transit.
Les scénarios inquiétants imaginés par les chercheurs
Les auteurs de l’étude ne se sont pas contentés de démontrer la faille technique. Ils ont aussi imaginé, noir sur blanc, ce que des acteurs malveillants pourraient en faire — et les résultats donnent à réfléchir.
Scénario 1 — La surveillance commerciale silencieuse : Une société de data installe discrètement un réseau de récepteurs dans une ville. Elle analyse les flux de véhicules, identifie les itinéraires récurrents, les zones de stationnement fréquentes, et revend ces informations à des annonceurs ou des assureurs. Les automobilistes concernés n’en sauront jamais rien.
Scénario 2 — Le cambrioleur connecté : En zone pavillonnaire, un individu installe un simple récepteur près d’une rue résidentielle. En quelques jours, il sait exactement à quelle heure chaque foyer se vide. Il n’a besoin d’aucune caméra, d’aucun complice. Les capteurs de pneus lui ont tout dit. Un risque à rapprocher des objets chez soi qui attirent déjà les cambrioleurs — et qui s’ajoute désormais à la liste des vulnérabilités invisibles.
Scénario 3 — Le piège sur la route : Des poids lourds suivis sur leurs tournées habituelles. Les trajets reconstitués. Puis une fausse alerte de pneu crevé émise pour forcer un arrêt à un endroit précis. Une attaque en deux temps, combinant écoute passive et intervention active.
Une réglementation qui n’a pas vu venir ce risque
Depuis juillet 2022, 54 pays dans le monde — dont tous les membres de l’Union européenne — exigent une certification cybersécurité pour les véhicules neufs. Ce cadre réglementaire, issu du règlement des Nations unies n°155, liste des dizaines de menaces potentielles visant l’identité et la localisation des voitures. Pourtant, le TPMS n’y figure pas. Ce petit capteur de sécurité routière a tout simplement échappé aux radars des régulateurs.
C’est d’ailleurs un angle mort qui s’ajoute à la surveillance croissante des voitures modernes, alors que les constructeurs collectent déjà massivement les données de conduite. La faille TPMS est d’autant plus préoccupante qu’elle est totalement passive : elle ne nécessite aucune connexion internet, aucun accès au véhicule, aucune complicité d’aucune sorte. Elle existe depuis le premier jour, dans des millions de voitures déjà sur les routes.
À lire aussi
Le Dr Alessio Scalingi, ancien doctorant à l’IMDEA Networks et aujourd’hui professeur assistant à l’Université Carlos III de Madrid, résume le paradoxe : « Alors que les véhicules deviennent de plus en plus connectés, même des capteurs orientés sécurité comme le TPMS devraient être conçus avec la sécurité à l’esprit, puisque des données qui paraissent passives et inoffensives peuvent devenir un puissant identifiant lorsqu’elles sont collectées à grande échelle. »
Ce qui pourrait changer — et ce qui ne changera pas de sitôt
Les chercheurs formulent plusieurs recommandations concrètes pour réduire le risque. La plus simple : chiffrer les communications entre le capteur et l’ordinateur de bord. Une autre piste consiste à faire varier régulièrement l’identifiant transmis par le capteur, rendant impossible toute corrélation sur la durée. Ces solutions existent techniquement. Elles ne sont simplement pas encore imposées par la réglementation.
Le Dr Yago Lizarribar, qui a mené cette recherche dans le cadre de son doctorat à l’IMDEA Networks avant de rejoindre Armasuisse en Suisse, le dit sans détour : « Le TPMS a été conçu pour la sécurité routière, pas pour la sécurité informatique. Nos résultats montrent la nécessité pour les constructeurs et les régulateurs d’améliorer la protection dans les futurs systèmes de capteurs des véhicules. »
En attendant, les capteurs actuels restent en place dans des dizaines de millions de voitures européennes. Et si vous êtes propriétaire d’un véhicule immatriculé après 2012, il y a de très fortes chances que le vôtre émette lui aussi, en ce moment même, cet identifiant unique — lisible par quiconque se donnerait la peine d’écouter.
À l’heure où les constructeurs automobiles collectent toujours plus de données sur nos habitudes de conduite, et où les caméras embarquées se multiplient dans les véhicules, cette découverte rappelle une vérité inconfortable : la menace pour votre vie privée sur la route ne vient pas toujours de là où on l’attend. Parfois, elle se cache dans un composant vieux de quinze ans, vissé au creux de votre jante.
Si votre voiture est déjà connectée et que vous vous interrogez sur ce qu’elle transmet, vous pourriez aussi être concerné par d’autres failles invisibles dans votre quotidien numérique — car le principe est toujours le même : des données qui semblent anodines, collectées en masse, deviennent une carte détaillée de votre vie.
