Pour connaître la qualité des systèmes en réseau contre les cyberattaques, il faut se mettre dans la peau d'un agresseur potentiel. Cela s'applique particulièrement à l'automobile en réseau et à ses nombreuses interfaces. C'est la raison pour laquelle les experts de la sécurité de T-Systems réalisent des attaques sur les composants du Connected Car à la demande du client.
Les objectifs d'un pirate informatique qui s'attaque à un véhicule en réseau sont aussi divers que ses méthodes. Porter atteinte aux systèmes, voler des informations confidentielles ou empêcher la disponibilité de services ne sont que quelques exemples de buts recherchés. En se mettant dans la peau des hackers et en endossant leur mode de réflexion ainsi que leurs méthodes d'attaque, les spécialistes de la cybersécurité peuvent identifier les points faibles techniques avec un maximum de fiabilité, contrôler ces points puis en déduire des contre-mesures ciblées.
Avec des tests d’intrusion, les experts T-Systems examinent le matériel informatique, les interfaces, les applications et les réseaux autour du véhicule.
Tests approfondis sur le matériel informatique et le logiciel, attaques parasites, attaques sur les interfaces de débogage et les canaux latéraux, manipulation de PCB, contournement des blocages JTAG, attaques sur certaines fonctions d'une UCE comme les mises à jour logicielles OTA, Feature Activation ou diagnostic, Privilege Escalation, Hardening, Service Detection, validation sécurisée des services de paiement, applications/services embarqués (p.ex. services de navigation)
Examen des points faibles généraux, vérification de la connexion à la Head-Unit, appareils de commande, back-end et services de fournisseurs tiers, tests des applis pour voitures particulières avec fonctions de confort, comme l'ouverture de portes et le contrôle de la climatisation (iOS et Android).
Analyse des connexions radio entre la Head-Unit et les appareils de commande, attaques du CAN Bus (scénarios middle-man) et d'autres technologies de communication Onboard (SOME/IP, BroadR-Reach), appareils de commande à bord (Fuzzing de la communication UDS), interfaces média (USB, Ethernet, WLAN), fonctions multimédia (p.ex. attaques par le biais de fichiers mp3 manipulés), autres connexions comme téléphonie mobile, NFC, Bluetooth, V2X, carte SD
Tests automatisés et attaques manuelles sur les processus d'authentification, révélation de nouveaux points faibles des logiciels dans les systèmes IT, analyse de code source (C, C++, Autosar, Java, iOS, Android), concepts cryptographiques et implémentations sur les points faibles
Les tests d’intrusion de T-Systems se déroulent toujours sur deux niveaux. Les Vulnerability Assessments presque totalement automatisés révèlent les points faibles pour les attaques déjà connues sur les systèmes IT. Si des failles de sécurité inconnues jusqu'à présent – et surtout spécifiques au secteur automobile – sont identifiées, des tests d’intrusion manuels sont nécessaires. Ces tests systématiques et flexibles avec des méthodes et des outils d'attaque réalistes sont censés mettre en lumière des points faibles avant qu'ils puissent être exploités.
La marche à suivre s'inspire des modèles d'exécution des tests d’intrusion.
Le test des infrastructures critiques fait partie d'une stratégie de sécurité IT complète. En tant que prestataire de services TIC, T-Systems dispose du savoir-faire et de l'indépendance nécessaires pour faire un état des lieux critique de vos systèmes ainsi que de vos applications. Nous définissons préalablement avec vous la portée concrète et le type de tests, en fonction de vos objectifs commerciaux et des exigences en matière de sécurité. À l'issue des tests d’intrusion, T-Systems rédige un rapport d'évaluation final détaillé qui mentionne toutes les failles de sécurité identifiées et les classe par ordre de priorité, et qui contient des recommandations concrètes pour y remédier.
Automotive Penetration Testing par un prestataire unique :
Couverture des coûts
Fiabilité
Sécurité
Innovant