Hologramme d'automobile futuriste dans un atelier.

Tests d'intrusion de voitures connectées

Les experts de la sécurité inspectent matériel informatique, logiciels et réseaux IT de la voiture connectée

Cyberattaque à la demande du client

Pour connaître la qualité des systèmes en réseau contre les cyberattaques, il faut se mettre dans la peau d'un agresseur potentiel. Cela s'applique particulièrement à l'automobile en réseau et à ses nombreuses interfaces. C'est la raison pour laquelle les experts de la sécurité de T-Systems réalisent des attaques sur les composants du Connected Car à la demande du client.

Identifier et contrôler les points faibles techniques

Computergrafik eines Autos von oben

Les objectifs d'un pirate informatique qui s'attaque à un véhicule en réseau sont aussi divers que ses méthodes. Porter atteinte aux systèmes, voler des informations confidentielles ou empêcher la disponibilité de services ne sont que quelques exemples de buts recherchés. En se mettant dans la peau des hackers et en endossant leur mode de réflexion ainsi que leurs méthodes d'attaque, les spécialistes de la cybersécurité peuvent identifier les points faibles techniques avec un maximum de fiabilité, contrôler ces points puis en déduire des contre-mesures ciblées.

Matériel informatique, logiciel, infrastructure

Avec des tests d’intrusion, les experts T-Systems examinent le matériel informatique, les interfaces, les applications et les réseaux autour du véhicule.

Appareils de commande

Tests approfondis sur le matériel informatique et le logiciel, attaques parasites, attaques sur les interfaces de débogage et les canaux latéraux, manipulation de PCB, contournement des blocages JTAG, attaques sur certaines fonctions d'une UCE comme les mises à jour logicielles OTA, Feature Activation ou diagnostic, Privilege Escalation, Hardening, Service Detection, validation sécurisée des services de paiement, applications/services embarqués (p.ex. services de navigation)

Applis mobiles

Examen des points faibles généraux, vérification de la connexion à la Head-Unit, appareils de commande, back-end et services de fournisseurs tiers, tests des applis pour voitures particulières avec fonctions de confort, comme l'ouverture de portes et le contrôle de la climatisation (iOS et Android).

Interfaces et infrastructure

Analyse des connexions radio entre la Head-Unit et les appareils de commande, attaques du CAN Bus (scénarios middle-man) et d'autres technologies de communication Onboard (SOME/IP, BroadR-Reach), appareils de commande à bord (Fuzzing de la communication UDS), interfaces média (USB, Ethernet, WLAN), fonctions multimédia (p.ex. attaques par le biais de fichiers mp3 manipulés), autres connexions comme téléphonie mobile, NFC, Bluetooth, V2X, carte SD

Back-end et applications web

Tests automatisés et attaques manuelles sur les processus d'authentification, révélation de nouveaux points faibles des logiciels dans les systèmes IT, analyse de code source (C, C++, Autosar, Java, iOS, Android), concepts cryptographiques et implémentations sur les points faibles

Procédure de test automatique et manuelle

Puce de circuit imprimé vue du dessus

Les tests d’intrusion de T-Systems se déroulent toujours sur deux niveaux. Les Vulnerability Assessments presque totalement automatisés révèlent les points faibles pour les attaques déjà connues sur les systèmes IT. Si des failles de sécurité inconnues jusqu'à présent – et surtout spécifiques au secteur automobile – sont identifiées, des tests d’intrusion manuels sont nécessaires. Ces tests systématiques et flexibles avec des méthodes et des outils d'attaque réalistes sont censés mettre en lumière des points faibles avant qu'ils puissent être exploités.

Nous sommes impatients d'étudier votre projet !

Nous serons heureux de mettre à vos côtés les experts adaptés et de répondre à vos questions relatives à la planification, à l'implémentation et à l'exploitation des solutions de sécurité pour la voiture connectée. N'hésitez pas à nous contacter !

Marche à suivre pour les tests d’intrusion

La marche à suivre s'inspire des modèles d'exécution des tests d’intrusion.

Préparation

  • Définir les objectifs, la portée et la marche à suivre
  • Définir l'environnement de test et les conditions de test
  • Tenir compte des aspects juridiques et organisationnels
  • Déterminer les risques et les mesures nécessaires en cas d'urgence

Acquisition d'informations

  • Définir et rechercher les informations nécessaires
  • Établir la vue d'ensemble des systèmes et des applications
  • Déterminer les points d'attaque potentiels et les défauts de sécurité connus

Évaluation et analyse des risques

  • Analyser et évaluer les informations collectées
  • Définir les objets de test et les cibles des attaques
  • Sélectionner les méthodes de test pertinentes
  • Créer les cas de test

Tentatives d'intrusion actives

  • Effectuer des tentatives d'attaque actives sur certains systèmes
  • Vérifier des points faibles potentiels
  • Sélectionner et exécuter d'autres modules de test

Analyse finale

  • Évaluation des résultats
  • Présentation des risques et définition de mesures
  • Recommandations pour la mise en œuvre
  • Établissement de la documentation finale

Automotive Pentesting avec T-Systems

Un homme en gros plan observe des données sur un écran transparent.

Le test des infrastructures critiques fait partie d'une stratégie de sécurité IT complète. En tant que prestataire de services TIC, T-Systems dispose du savoir-faire et de l'indépendance nécessaires pour faire un état des lieux critique de vos systèmes ainsi que de vos applications. Nous définissons préalablement avec vous la portée concrète et le type de tests, en fonction de vos objectifs commerciaux et des exigences en matière de sécurité. À l'issue des tests d’intrusion, T-Systems rédige un rapport d'évaluation final détaillé qui mentionne toutes les failles de sécurité identifiées et les classe par ordre de priorité, et qui contient des recommandations concrètes pour y remédier.

Vos avantages en un coup d'œil

Automotive Penetration Testing par un prestataire unique :

Couverture des coûts

  • Prévention des dommages
  • Procédure efficace et peu coûteuse grâce à des recommandations de mesures 

Fiabilité

  • Experts de toutes spécialités disponibles
  • Regard objectif et indépendant d'un prestataire de services TIC 

Sécurité

  • Vérification des standards et des normes
  • Contrôles intensifs personnalisés avec des tests d’intrusion

Innovant

  • Résultats de test comme base et ligne directrice pour des mesures de sécurité innovantes
  • Préparé pour les menaces actuelles et nouvelles
Do you visit t-systems.com outside of France? Visit the local website for more information and offers for your country.