Voitures connectées : Une cible de choix pour les pirates ?

Geconnecteerde auto

Seuls 20 % de chaque nouvelle voiture qui quitte la chaine de montage sont encore fabriqués par le constructeur proprement dit. Les 80 % restant – notamment des composants électroniques, des systèmes de sécurité, des systèmes de connectivité et des systèmes multimédia – sont fournis par des sous-traitants. Malheureusement, cette évolution s’accompagne aussi d’un risque, celui du piratage. Deux spécialistes en sécurité de NTT Security tirent la sonnette d’alarme…

La voiture connectée n’est plus un fantasme. D’ici 2025, il y aura sur les routes 150 millions de voitures connectées d’une manière ou d’une autre. Cette connexion permanente entre le véhicule, les systèmes back end des fabricants et autres partenaires de service, ainsi que l’Internet (5G ou wifi), s’accompagne de nouveaux dangers. Ainsi, toujours plus de données personnelles et financières sont générées, échangées et traitées. Dès lors, les voitures connectées sont exposées à des menaces fréquentes dans l’IT, comme le ransomware ou les attaques sur les serveurs web.

Vulnérable

Les voitures connectées sont vulnérables à diverses formes de hacking. Via des interfaces média, sur les systèmes back end via l’Internet, ou directement via des capteurs ou la communication entre véhicules (Car2X). Dans le premier scénario, la menace se concrétise par le piratage de données. Les hackers peuvent par exemple accéder aux systèmes IT des constructeurs et y manipuler toutes sortes de données, notamment les valeurs WLTP.

« Le deuxième scénario est encore plus dangereux », déclare René Bader, Tactical Leader Business Applications & Car Security chez NTT Security. « Un exemple : certaines voitures sont équipées d’un dongle qui est connecté à une appli pour smartphone et qui collecte des données pour des compagnies d’assurance. Dans le passé, nous avons déjà vu des attaques qui donnent aux hackers la possibilité d’accéder à certains systèmes via le dongle. À distance, ils pouvaient donc activer les freins ou donner plus de gaz. C’en est resté à des tentatives sans véritables conséquences. Pour les hackers, en effet, voir jusqu’où ils peuvent aller représente un défi. Mais cela démontre bien à quel point les systèmes sont vulnérables. »

Geconnecteerde auto

« Et nous n’en sommes qu’au début de la tendance vers toujours plus de services de communication », poursuit René Bader. « Prenez simplement les mises à jour en direct, le streaming, la communication car2car, la communication car2infrastructure et les possibilités de navigation. Malheureusement, au jour d’aujourd’hui, ces systèmes ne sont pas assez sécurisés parce que, souvent, ils ne disposent pas encore d’une authentification sur la base de certificats ou de codes qui peuvent valider l’identité de l’appareil et transférer en toute sécurité des données à d’autres appareils. »

Une sécurité en trois couches

Une voiture connectée ne peut être sûre que si l’on tient compte de la sécurité intégrée dans tous les domaines pendant son cycle de vie : de la conception à la production et de l’utilisation au démontage.

Charles Bovy, Directeur commercial Managed Fleet Services EMEA chez NTT Security : « Les constructeurs automobiles intègrent toujours d’avantage cette culture de la sécurité et la chaîne de sous-traitance devient de plus en plus complexe et fragmentée. Désormais, la sécurisation de la voiture connectée doit également relever des sous-traitants. Pour éviter qu’un composant soit endommagé ou qu’un service soit détérioré, il faut sécuriser les trois couches de la voiture connectée : le véhicule, les back end et cloud, ainsi que le réseau. »

Une zone grise

« Aujourd’hui, nous sommes en fait en présence d’une zone grise », ajoute René Bader. « Il n’existe pas de législation concernant la responsabilité en cas de brèche dans la sécurité. Le conducteur se tournera vers le constructeur. Toutefois, faut-il chercher la responsabilité là ou chez le sous-traitant ? Personne ne peut véritablement répondre à cela. D’un côté on a aujourd’hui une architecture de sécurité insuffisante dans les trois couches et, d’un autre côté, il n’y a même pas de cadre légal au cas où les choses tournent mal. En gardant l’avenir en tête, il faut donc trouver des solutions le plus rapidement possible. »

Geconnecteerde auto

Les solutions ? Le cryptage est le mot-clé

Si on veut rendre plus sûre l’actuelle génération de voitures déjà connectées, ce ne sera pas une sinécure d’un point de vue technique.

« Facile, ça ne l’est pas », déclare René Bader. « Si vous voulez ajouter des nouveaux composants de sécurité à l’architecture d’une voiture, cela prend 4 à 5 ans parce qu’il faut tester et optimiser. Si vous ne le faites pas, cela peut par exemple influencer la consommation de carburant. Avec pour conséquence des valeurs WLTP qui ne sont plus correctes et une certification du véhicule qui n’est plus conforme non plus. Et ce n’est qu’un cas de figure parmi d’autres de ce qui peut mal se passer. Aujourd’hui, nous sommes également encore limités en ce qui concerne les réseaux. Une voiture connectée actuelle génère par heure quelque 26 gigabytes de données. C’est trop pour des protocoles de sécurité en temps réel via des réseaux 4G. Actuellement, nous travaillons à l’implémentation d’un composant d’apprentissage automatique (NDLR, une sorte d’intelligence artificielle) avec un module de cryptage qui peut mesurer des anomalies et les transférer à des fins d’analyse. Il s’agit d’une des solutions qui seront implémentées dans les six mois à venir chez quelques marques premium. Le cryptage deviendra d’ailleurs un des piliers d’une meilleure sécurité, également dans les bus CAN qui communiquent avec les différents composants électroniques de la voiture. »

Faire en sorte que la sécurité devienne un facteur distinctif

Les véhicules connectés et (semi-)autonomes présentent pas mal d’avantages et les constructeurs peuvent mettre la sécurité en avant en tant qu’argument de vente. « Mais, dans ce cas, il est indispensable que les clients puissent avoir l’assurance que les sous-traitants de produits et de services aussi y accordent une grande importance. Etant donné qu’on a affaire à un facteur déterminant lors de la sélection de partenaires, il s’agit là d’un élément qui stimulera l’innovation dans le secteur automobile plutôt que d’un obstacle », signale Charles Bovy.

« Tout comme n’importe quelle autre entreprise IT, les fabricants et intéressés doivent avoir des stratégies qui préviennent les intrusions et les autres risques de dégâts. Outre une surveillance permanente, il faut un plan d’action, avec une analyse des aspects sensibles et des tests de routine en tant que mesures de contrôle. Ainsi, la sécurité des différents composants peut être contrôlée régulièrement, de l’infrastructure back end aux systèmes intégrés dans le véhicule. »

Inscrivez-vous maintenant à FLOW, l’e-letter hebdomadaire de FLEET.be !