|

Protéger les véhicules connectés des cyberattaques

Les voitures intelligentes sont vulnérables aux cyberattaques de pirates informatiques, et les scénarios déjà envisagés font froid dans le dos. Seule solution contre ces nouvelles menaces : que les acteurs de l'industrie automobile adhèrent à des exigences de sécurité communes (et partagées)


La quasi-totalité des voitures intelligentes sont vulnérables aux cyberattaques de pirates informatiques. Et les scénarios envisagés font froid dans le dos… Seule solution contre ces nouvelles menaces : inventer un cadre commun pour toute l'industrie automobile. Bureau Veritas et Devoteam viennent de publier le premier guide technique de bonnes pratiques "ouvert", sur lequel ils ont travaillé pendant un an.

DES VOITURES PRESQUE TOUTES CONNECTÉES

Le saviez-vous ? Votre voiture, même un peu ancienne, est sans doute déjà «connectée» ! Entre 40 à 60 millions de véhicules dans le monde le sont : il suffit d’être équipé d’un GPS ou d’une ouverture des portes à distance. La plupart des modèles qui sortent des usines aujourd’hui sont «intelligents», ils communiquent désormais via USB ou Wifi, analysent la route avec caméras et radars, contrôlent les fonctions vitales (freinage, éclairage, moteur, direction), sont capables de vous aider à vous garer à ou à éviter un obstacle… et pourront bientôt se  conduire seuls, sans pilote: Google teste ses prototypes sur les routes de Californie, Tesla, BMW, Renault, Peugeot ont tous annoncé leurs premiers véhicules autonomes pour les années à venir.

 

Toutes les fonctionnalités électroniques d'un véhicule connecté, susceptibles de faire l'objet de cyberattaques.

 

Dans une voiture connectée haut de gamme, on dénombre désormais près de 75 capteurs, une dizaine d’outils de communication (Bluetooth, GPRS…), une centaine de micro-ordinateurs embarqués, exécutant autour de 100 millions de lignes de code informatique. Soit selon IBM, 8 fois plus qu’un 787, l’avion le plus moderne de Boeing.

100 millions de lignes de codes sur un véhicule connecté, plus que sur un avion de ligne. De quoi les rendre plus vulnérables aux cyberattaques.

Source : IBM, 2014

 

… ET DONC DE PLUS EN PLUS VULNÉRABLES

« Le problème, c’est que plus on demande au véhicule de traiter des informations venant de l’éxterieur - pour réaliser des fonctions de sécurité ou de confort - plus les risques de piratage augmentent », explique Franck Sadmi, Responsable de la cellule Logiciel et Cyber Sécurité chez Bureau Veritas. Et dans l’automobile, les risques sont très élevés. Un récent rapport du sénateur américain Ed Markey, ne fait pas dans le détail et estime que 100% des voitures connectées aujourd’hui en circulation peuvent être piratées. Le FBI lui-même vient d’émettre un bulletin officiel pour appeler les constructeurs à réagir.

Il faut dire que, pour un hacker, une voiture connectée a bien plus de « 5 portes » :
● la clé connectée (qui allume les phares et démarre le moteur chez BMW par exemple)
● la prise USB
● le Bluetooth, le Wifi, une des puces téléphoniques embarquées
● un smartphone ou une montre connectée reliée au véhicule
● le point de recharge électrique
● le boîtier OBD, qui sert de prise de diagnostic pour les réparateurs en fournissant les données sensibles du véhicule (emplacement, informations sur la conduite…) ou par la valise diagnostic que les dépanneurs branchent dessus.
● le data center du constructeur automobile, le point le plus critique : si on arrive à en prendre le contrôle, on peut toucher des millions de véhicules simultanément.

 

LES RISQUES POTENTIELS FONT FROID DANS LE DOS

Pour l’instant, rassurons-nous, il n’y a rien à signaler. «Aucune cyberattaque de véhicule n’a été recensée sur le terrain », affirme le colonel de gendarmerie Franck Marescal, chef de l'Observatoire central des systèmes de transport intelligents.

Seuls des chercheurs et des consultants en sécurité ont réussi à démontrer qu’ils pouvaient accéder à la plupart des fonctionnalités d’un véhicule. Après avoir hacké une Toyota Prius et une Ford Escape, deux experts américains habitués du sujet ont démontré après de longues recherches qu’ils pouvaient prendre le contrôle à distance d’une Jeep, en actionnant la ventilation, le klaxon, le tableau de bord… et en éteignant le moteur sur l’autoroute.

McAfee, la filiale cyber sécurité d’Intel, qui édite l’antivirus du même nom, prévoit les premières cyberattaques criminelles sur des voitures… dès 2016. Elle envisage très sérieusement des menaces d’embouteillages géants, une dégradation de la sécurité routière… voire des risques de pertes humaines.

L’impact potentiel est énorme pour les constructeurs, en termes d’image et de responsabilité.

Bureau Veritas a listé avec son partenaire Devoteam les risques majeurs liés au cyber piratage :

Vol de véhicule: en pénétrant dans le système, les pirates peuvent désactiver le verrouillage des portes, l’anti démarrage, et même changer l’identification de la voiture pour la revendre ensuite sur le marché. Des kits sont disponibles sur le net pour quelques centaines d’euros…

Vol de données
- vols de données personnelles et sensibles
- informations sur la conduite
- écoute téléphonique (via le kit main libre ou l’e-call automatique d’urgence)
- géolocalisation du véhicule (en temps réel ou en historique)
- surveillance vidéo (caméra frontale ou caméra conducteur utilisée par la surveillance de vigilance)

Sécurité
- déni de service (perturbation dispositif collaboratif, déconnexion de fonctions de localisation, aide à la conduite hors d’usage)
- intimidation (actions de commandes sans contrôle du conducteur)
- demande de rançon (le véhicule est rendu hors d’usage temporairement)
- terrorisme (accident, interception, véhicule transformé en arme)

 

LA CYBER SÉCURITÉ AUTOMOBILE EXIGE UNE DÉMARCHE COORDONNÉE

Les constructeurs ont bien évidemment réagi à la menace des cyberattaques. Tous, PSA ou Renault en France notamment, se sont équipés de services compétents qui étudient les meilleurs moyens de protéger leurs systèmes. Problème : il n’existe pas de référentiel commun dans l’industrie. Les équipementiers, constructeurs, développeurs, outils connectés peuvent donc laisser des trous béants pour la sécurité de leurs utilisateurs finaux. «Pour prendre une image, on blinde les portes d’entrées et on estime qu’on est en sécurité à l’intérieur. Le problème, c’est que les invités – les applications ou outils tiers - laissent la porte ouverte !», explique Jean-Luc Gallicé, DG adjoint France de Devoteam.

«Le fait d’agir ensemble est un des modes d’actions les plus importants de la Stratégie Nationale pour la sécurité du numérique, qui vise à lutter contre les menaces touchant, entre autres, les individus et les objets connectés», confirme le Colonel Franck Marescal.

 

UN GUIDE TECHNIQUE "OUVERT" PROPOSE PAR BUREAU VERITAS ET DEVOTEAM

Depuis octobre 2015, Bureau Veritas et Devoteam travaillent sur un guide technique de bonnes pratiques et une offre de services dédiée à la cybersécurité des véhicules connectés.

Le guide technique de bonnes pratiques est le premier du genre totalement "ouvert", destiné aux parties prenantes (constructeurs, équipementiers de rang 1 ou 2) du secteur automobile.

L’objectif de ce guide technique est double : apporter une aide technique pour identifier et traiter les nouveaux risques liés à la cyber-sécurité d’une part. Permettre aux constructeurs de valoriser leur maîtrise du risque cyber-sécuritaire via une certification délivrée par un tiers indépendant et reconnu d’autre part.

Le partenariat entre Bureau Veritas et Devoteam a le mérite d’offrir une approche globale et intégrée aux acteurs de l’industrie automobile. A Bureau Veritas, l’analyse des risques système / logiciel – et in fine la certification d’un véhicule ou d’un composant de véhicule. A Devoteam, les tests sur les systèmes automobiles et leur sécurisation.  

Ce guide technique de bonnes pratiques est dorénavant disponible ici.
Il présente un ensemble d’exigences, réparties en 3 niveaux de sécurité, et adaptées pour les  constructeurs ou équipementiers. Le premier niveau, par exemple, consiste à mettre en œuvre des mesures quick-wins.

 

Pour en savoir plus sur notre expertise dans le secteur automobile :

 




|