Voiture sans conducteur : un nouveau défi de cybersécurité

0

Dans un futur proche, vous pourriez être à côté d’une voiture dans les embouteillages, et constater … qu’il n’y a pas de conducteur. Nos véhicules se transforment et se font de plus en plus intelligents. Prochainement les transports publics pourraient être semi ou totalement automatisés, et, bien sûr, les voitures pourront circuler sans conducteur. Le Royaume-Uni, la France ou encore la Suisse font partie de ces pays qui testent déjà ces voitures autonomes sur leurs routes. Selon Gartner, ces véhicules pourraient bien représenter jusqu’à environ 25 % du parc des voitures particulières d’ici 2030. 

voiture-1

Les avances en technologie sont toujours dangereux mais, cette fois, la perspective de pouvoir étendre leurs cibles et multiplier les opportunités d’attaques fait réjouisser les hackers. Si on considère la prolifération des cyberattaques et autres piratages de données sophistiquées au cours de ces dernières années, les cybermenaces qui pèsent sur ces véhicules autonomes constituent une préoccupation majeure et un réel défi, tant pour les constructeurs automobiles que pour le secteur de la sécurité. Une voiture sans conducteur est un moyen de transport très évolué, avec peut-être, à terme, la disparition du traditionnel volant.

Hacker un véhicule? On l’a déjà vu…

Ces automobiles disposent de davantage de composants électroniques et nouveaux systèmes de navigation et de sécurité routière que doivent être intégrés avec les systèmes électroniques de bord déjà présents dans les véhicules, se connecter avec leur équipementier respectif et, sans doute, offrir de nouveau services via Internet. Et c’est là que réside le problème : les hackers sont susceptibles d’accéder à distance à un véhicule et de pirater un ou plusieurs systèmes de bord, comme il l’a démontre Raúl Sanchez, un expert en sécurité des systèmes embarqués en Mundo Hacker Day 2016 au il on fait des chinois en prenant le contrôle de voitures Tesla à distance, et même pendant qu’elles roulent.

Voici deux risques partagés pour Fortinet susceptibles de peser sur les véhicules autonomes et connectés : attaque du système le plus vulnérable : les systèmes et réseaux de bord ne seront pas tous créés de la même façon. Les assaillants tenteront ainsi d’identifier les vulnérabilités des services les moins bien protégés, comme les systèmes de divertissement, pour ensuite s’immiscer sur le réseau de communication de bord et accéder à des systèmes plus sensibles. Ces communications peuvent être la cible d’attaques. 

Mais celle-ci n’est pas le seule problème: l’informatique contrairement aux systèmes de contrôle industriels qui équipent les voitures conventionnelles, est imprévisible. Les systèmes informatiques peuvent ainsi tomber en panne sans prévenir. Ceci est acceptable lorsqu’il s’agit d’un serveur Web inaccessible pour cause de redémarrage des serveurs qui l’hébergent. En revanche, les conséquences peuvent être bien plus fâcheuses lorsqu’une défaillance d’un système Wi-Fi ou de divertissement de bord entraîne un dysfonctionnement du système de navigation.

On peut également s’attendre à ce que des menaces connues, ciblant les équipements mobiles ou les objets connectés, s’adaptent à cette nouvelle cible que constitue la voiture autonome donc on pourrait avoir, par exemple, des ransomware comme il en a maintenant sur PC et smartphone. Une voiture sans conducteur est une cible tout aussi idéale. Imaginons le scénario suivant : un hacker pirate le système d’affichage de bord pour informer un propriétaire que son véhicule est immobilisé jusqu’au paiement d’une rançon.

Ransomware programmé pour attaquer des voitures ?

voiture-4

Dans le cas d’un PC ou d’une tablette, la restauration est relativement simple, dans l’hypothèse bien sûr que données et paramètres aient été sauvegardés. Mais le cas d’une voiture autonome est bien différent… Le propriétaire peut être en déplacement, et le ransomware programmé pour ne s’exécuter que lorsque le véhicule est à une distance prédéterminée de sa maison. Les concessionnaires et garagistes ne sauront pas forcément comment gérer une telle panne logique, et devront faire appel à des compétences expertes pour restaurer les composants et systèmes défaillants. Le montant de la rançon demandée pourrait bien être particulièrement élevé, sans doute supérieur à celui de la rançon généralement demandée pour déverrouiller un PC classique.

En effet, les véhicules sans conducteur recueillent des volumes importants de données qui en disent long sur le propriétaire : destinations favorites, itinéraires, adresse personnelle, comportements d’achat et même compagnons de voyage. En plus, une voiture connectée et sans conducteur deviendra sans doute une passerelle pour nombre de transactions électroniques, qu’il s’agisse du paiement électronique de votre café du matin, du coût de parking ou de la facture de révision.

La voiture devient ainsi une cible pour détourner des informations personnelles. Et avec le développement des cartes de paiement RFID et NFC, l’accès aux informations via la voiture connectée est un nouveau moyen de détourner des données sur vous et vos passagers. Notons enfin qu’il existe des problématiques légales et d’authenticité. Pouvons-nous considérer les données de localisation d’un véhicule comme authentiques ? Ces données seront-elles jugées acceptables par une cour de justice ? Ou, au contraire, peut-on manipuler de telles données ?

De manière similaire, si une voiture sans conducteur est équipée de logiciels fournis par différents éditeurs, et que cette voiture passe d’un réseau à un autre au cours de la journée, qui serait responsable d’un piratage de sécurité et de ses impacts ? S’agit-il d’un défaut logiciel ? D’une administration réseau défaillante ? D’une erreur de l’utilisateur ? Reste à savoir maintenant comment maîtriser ces risques et sécuriser les voitures autonomes. Il est nécessaire que les constructeurs prennent conscience des cybermenaces potentielles et aussi les utilisateurs. Une collaboration étroite avec le secteur de la sécurité Internet sera au grand bénéfice de tous.

voiture-3

Dans ce point, il faut tenir en compte aussi que l’intégration d’un nombre croissant de technologies au sein d’un véhicule, qu’il s’agisse d’améliorer l’expérience de conduite ou de renforcer les performances, doit s’accompagner toujours d’une gestion des risques et menaces associées. Il est impératif que les technologies de sécurité pertinentes et efficaces soient déployées au sein de ces systèmes, même si cela n’est pas (encore) exigé réglementairement.

De plus, une des problématiques communes à nombre d’objets connectés est qu’ils utilisent des programmes de communication communs qui ne disposent pas de fonctions de sécurité intégrées. On s’étonnera donc qu’à moitié de constater le nombre effarant d’objets connectés non sécurisés à ce jour. Selon Fortinet, il est clair que nous devons faire des progrès pour sécuriser les voitures sans conducteur et ne pas se contenter de statut quo actuel qui prévaut au sein de l’Internet des Objets. Les constructeurs automobiles doivent collaborer avec différents fournisseurs pour sécuriser les connexions réseaux avec les véhicules car la sécurité logique des automobiles englobe différents domaines, pouvant utiliser des techniques existantes, mais aussi requérir certaines innovations.

About Author

Globb Security France

Leave A Reply