Transformation in die Cloud - welche Cloud darf es sein?
Sécurité Industrielle

Sécurité automobile: ne pas laisser de chances aux pirates

18 nov. 2016

Les voitures connectées sont une cible pour les pirates informatiques. Pour assurer la sécurité automobile, les constructeurs ont besoin de sécurité informatique dans leurs véhicules, de communications mobiles et de systèmes de gestion.
Car security: threat by hackers increases

C’est un « requin » qui a fait entrer le sujet de la « sécurité informatique pour la sécurité automobile » dans les médias pour la première fois. En 2010, les scientifiques de San Diego et Washington ont utilisé un logiciel appelé CarShark pour montrer comment les voitures pouvaient être piratées, forçant deux limousines à freiner à partir d’une voiture stationnée à proximité. Aujourd’hui, la sécurité informatique des voitures est plus importante que jamais. Avec plus de 100 millions de lignes de code de programmation – sept fois plus qu’un Boeing 787 – les automobiles sont devenus des ordinateurs mobiles. De plus en plus de voitures sont connectées, ce qui signifie que les assaillants peuvent aussi y accéder de loin. La sécurité informatique est donc la base de la sécurité automobile.

La sécurité d’emblée

Jusqu’ici, les expériences de l’industrie automobile quant à la sécurité sont demeurées limitées. Ceci dit, les constructeurs, c.a.d les fabricants d’équipements d’origine et les fournisseurs, peuvent s’appuyer sur les techniques et expériences accumulées dans le domaine des communications mobiles. Une chose est sûre : les fabricants et fournisseurs peuvent apprendre les uns des autres en échangeant des informations sur les lacunes en sécurité informatique et les systèmes de sécurité efficaces. Pour ce faire, il conviendrait de remettre en question cette vieille habitude consistant à protéger jalousement son savoir-faire. Un autre principe important est la « sécurité et confidentialité par défaut » (plus d’informations dans une de nos contributions à venir) : les constructeurs automobiles ont dès maintenant besoin d’intégrer la sécurité informatique et la protection des données à la conception de nouvelles automobiles, de nouvelles pièces et logiciels, de manière à assurer la sécurité de leurs voitures.
Ils seraient bien inspirés de considérer tous les aspects automobiles dans les mains des OEM. En plus de l’ordinateur de bord, les constructeurs devraient regarder les communications mobiles et le système de gestion des véhicules. 
« Lorsque les responsables du monde de l’industrie s’inquiètent de la sécurité des informations, les systèmes intérieurs des véhicules sont le premier point faible qui leur vient à l’esprit. » - écrit la société de conseil PwC dans son étude intitulée Connected Car Study for 2015. « Mais la menace va bien au-delà de l’interface du tableau de bord. »

1. L’auto-défense de la voiture

Les infrastructures informatiques et de télécommunications au sein d’une voiture se composent de systèmes de bus tels que le lecteur CAN bus et le bus d’information-divertissement MOST, auxquels sont connectées plus de 100 unités de contrôle électroniques (ECU). Le protocole CAN bus, octogénaire, ne fournit pas de consignes de sécurité. Les unités de contrôle n’ont pas à montrer patte blanche pour échanger des données, ni ne vérifient la plausibilité des messages entrants, deux choses qui seront à l’avenir absolument nécessaires. Dans le cas contraire, les systèmes de sécurité actifs tels que les airbags pourraient être activés à distance, alors même que la voiture roulerait à toute allure sur l’autoroute. 
La passerelle entre les bus convient à un système de détection des éventuelles intrusions qui va suivre toutes les communications, alerter sur les anomalies et améliorer la sécurité.

2. Des pare-feu pour les cartes SIM 

Avec une carte SIM, la voiture devient un terminal mobile et donc une proie potentielle pour les attaques malveillantes. Les criminels pourraient utiliser la carte SIM illégalement et appeler par exemple des hotlines onéreuses aux frais du propriétaire. Les constructeurs automobiles peuvent éviter ce type de situation en créant des connexions sécurisées par le biais de réseaux privés virtuels VPN ou de points d’accès au réseau privés (APN).   
De plus, toutes les composantes de communication telles que les unités de contrôle, systèmes de gestion et feux de signalisation devraient être identifiés par des certificats fournis par une infrastructure publique clé. Pour détecter les attaques ayant encore cours, il existe des systèmes de détection des pratiques frauduleuses. Ceux-ci surveillent les communications mobiles en utilisant des règles bien définies telles que des limites sur le volume de données. Les données qu’un OEM peut collecter légalement dépendent de s’il est ou non enregistré en tant que fournisseur de communications.

3. Barrières au système de gestion

Le système de gestion de la voiture connectée forme la base de données pour les applications et services dans la voiture, emmagasine son identité numérique, notamment par le biais de numéros VIN et des ID de toutes les pièces. Il joue donc un rôle important dans la sécurité informatique et automobile. Les systèmes de gestion approvisionnent par exemple les véhicules en actualisations. 
Toutefois, le réseautage automobile expose aussi à de nouvelles attaques potentielles sur le système de gestion via les interfaces en direction de la voiture et des fournisseurs d’applications et services connectés. Un pirate pourrait par exemple infiltrer un logiciel malveillant dans le système de gestion par le biais d’un message en provenance d’un véhicule fictif. Il est donc important de séparer virtuellement les puissances de calcul et de stockage des différents services dans le système de gestion, de manière à ce qu’un pirate ne puisse mettre en danger tous les services en même temps. 

Des consommateurs anxieux

Il est grand temps de mettre au point des systèmes de sécurité exhaustifs dans les voitures, car les automobilistes sont perturbés. Selon l’association "Deutschland sicher im Netz" (Association Allemande de Sécurité sur la Toile), la moitié des internautes d’Outre-Rhin craignent que des tiers ne collectent des données à partir de véhicules non autorisés. Selon le KPMG, 82% des consommateurs américains, inquiets quant à la sécurité des voitures, évitent ou même refusent d’acheter un véhicule à un fabricant ayant déjà été victime de piratage.