Nous suivre Industrie Techno

Avis d'expert

Pourquoi est-il si facile de pirater une voiture ?

Sujets relatifs :

, ,
Soyez le premier à réagir

Soyez le premier à réagir

Pourquoi est-il si facile de pirater une voiture ?

© dr

Pour DJ Singh, Digital Strategy Architect @wiprodigital, les voitures représentent une des plus fortes menaces de cybersécurité. Mais malgré au moins six failles majeures mises en évidence par les chercheurs, les constructeurs automobiles minimisent le danger, le considérant comme moins important que des pannes ou risques pour la sécurité physique des passagers. Un problème d’autant plus ardu à résoudre que les constructeurs ne sont plus que des assembleurs de technologies, dont de plus en plus de logiciels.

Le piratage subi par Jeep a récemment attiré l’attention du public sur la sécurité des voitures connectées. Mais la question des problèmes de sécurité des véhicules n’est pas récente.

La Cadillac Seville de 1978 avait créé l’événement en introduisant l’ordinateur de bord : cette voiture a été la première à avoir testé un microprocesseur sur le terrain. Aujourd’hui, le code à bord des voitures gère tout : depuis la réduction des émissions de CO2 à l’amélioration de l’efficacité en passant par les diagnostics, la communication avec les infrastructures routières via des stations de radio dédiées, la transmission des informations de diagnostic au constructeur à travers les données cellulaires, ainsi que l’hébergement d’autres fonctions essentielles, notamment pour la sécurité avec le déploiement des airbags, le contrôle de la traction, le freinage antiblocage (ABS), etc.

Les concepteurs automobiles se sont rapidement concentrés sur les instruments de bord, notamment les systèmes de navigation incorporés au tableau de bord, les instruments virtuels et les dispositifs de divertissement aux places arrière, mais ils ont été moins efficaces pour ce qui est de sécuriser les systèmes informatiques de leurs véhicules.

6 failles de sécurité majeures détectée par les chercheurs

Des chercheurs spécialisés dans la sécurité automobile ont démontré les vulnérabilités des voitures connectées en réalisant plusieurs exploits effrayants :

Une équipe a réussi à pirater à distance un système d’info-divertissement connecté à Internet utilisé par plusieurs modèles de voitures. Grâce à la fonction de mise à jour du logiciel, ils ont pu installer un logiciel malveillant afin de commander les systèmes de contrôle du véhicule.

Une autre équipe de chercheurs a créé un logiciel malveillant capable de s’immiscer dans le logiciel de contrôle de la voiture lorsque l’équipement de diagnostic est connecté aux ports de diagnostic embarqués du véhicule.

Une expérience similaire a permis de prendre le contrôle d’un camion en exploitant les vulnérabilités du bus de commande J1939 ; les chercheurs ont d’ailleurs déclaré que cela avait été beaucoup plus facile que de pirater une voiture.

Testant un autre type d’incident, les chercheurs en sécurité ont pu forcer l’accès aux API d’une Nissan Leaf depuis Internet. L’application mobile du véhicule (retirée depuis lors) comportait une vulnérabilité qui a permis aux chercheurs d’accéder à ses données télématiques, notamment la distance via les API, qui ne disposaient d’aucun mécanisme de sécurité (« sécurité par l’obscurité »).

Les chercheurs sont également parvenus à pirater des compagnies d’assurance à l’aide du dispositif de plug-in OBD, simplement en envoyant à l’appareil un message avec un texte soigneusement élaboré.

Enfin, une autre équipe de chercheurs a quasiment pu exploiter l’ensemble des vecteurs de menace de véhicules, y compris des instruments de diagnostic vulnérables dans le système Bluetooth d’une voiture, ainsi qu’en appelant le modem cellulaire de la voiture et en diffusant un codage audio conçu tout spécialement.

Parmi les autres vecteurs de vulnérabilité détectés par les spécialistes figurent le Wi-Fi embarqué, la télématique, le déverrouillage à distance et les antidémarreurs RFID, les communications dédiées à courte portée (DSRC) servant à la communication entre les véhicules et les infrastructures routières, les systèmes de navigation, la radio par satellite et même les capteurs de pression des pneus. Ces vulnérabilités peuvent permettre à des personnes malveillantes d’écouter la conversation des occupants d’une voiture en allumant le microphone Bluetooth du véhicule, de trafiquer le compteur kilométrique d’une voiture, ou encore d’accéder à ses données de localisation.

Mais les constructeurs restent concentrés sur les pannes dangereuses 

Malgré toutes ces démonstrations très médiatisées sur les vulnérabilités des voitures en matière de sécurité, le secteur automobile minimise le danger, se concentrant plus sur les accidents ou les défauts, plutôt que sur les types de menace malveillants et prémédités qui sont typiques des cyberattaques. C’est pourquoi les cadres de sécurité du secteur automobile, tels que l’ISO 26262 sur la sécurité électronique automobile, ne couvrent pas les menaces de sécurité.

De plus, les normes de sécurité automobile mettent beaucoup de temps à évoluer et à être mises en œuvre, car tous les éléments des normes doivent rester inchangés à long terme tout en étant rétrocompatibles. Les recommandations du secteur concernant la conception de dispositifs de cybersécurité dans les systèmes (SAE J3061) viennent tout juste d’être publiées. Une fois adopté par le plus grand nombre, ce cadre de référence fournira un processus structuré qui permettra de garantir que la question de la cybersécurité est présente tout au long du développement du produit.

Pourtant les vulnérabilités logicielles sont connues depuis longtemps dans le secteur automobile

Si les vulnérabilités logicielles résistent autant vient peut-être de la façon dont le secteur est structuré : la construction automobile est principalement une opération d’assemblage très efficace, reposant très fortement sur des fournisseurs OEM pour chacun des composants. Ce type de fonctionnement convient très bien pour l’assemblage mécanique, où chaque pièce, fabriquée selon un cahier des charges exigeant, peut être testée et dont la qualité peut être contrôlée. S’agissant des systèmes électroniques, les constructeurs automobiles se sont comportés comme des intégrateurs de systèmes et ont développé une « logique d’assemblage » pour intégrer les logiciels associés aux modules électroniques. C’est de cette logique d’assemblage que la plupart des vulnérabilités de sécurité ont pu être détectées.

Pendant ce temps, les principaux fournisseurs du secteur automobile se sont efforcés d’améliorer continuellement le matériel de sécurité des véhicules, couvrant ainsi une large gamme de solutions allant des modules complémentaires de sécurité pour le matériel informatique courant à des systèmes haute performance plus sophistiqués. Les technologies telles que l’extension de matériel sécurisée permet aux constructeurs automobiles d’ajouter des fonctions de sécurité essentielles, notamment la gestion de clé cryptographique, un module de cryptographie du matériel et un démarrage sécurisé des microcontrôleurs automobiles standards. Evita est une architecture de sécurité des réseaux embarqués qui couvre les besoins en sécurité des composants logiciels et matériels des réseaux complexes des voitures. De même, les organisations du secteur travaillent activement sur les questions de sécurité (par exemple, sur l’analyse des attaques par canal auxiliaire dans le domaine de la sécurité automobile) afin d’identifier les attaques par canal auxiliaire potentielles et de mettre au point des contre-mesures.

En attendant une législation ad hoc…

Les expériences très médiatisées de piratage, à l’instar de la vidéo du piratage de Jeep, ont amené les législateurs à envisager d’établir des normes pour assurer aux constructeurs automobiles de mettre en place les bons mécanismes de sécurité et de confidentialité à bord de leurs voitures connectées. Jusqu’à ce que ces lois et normes soient définies et adoptées, les constructeurs peuvent sensibiliser le public aux questions de protection de la vie privée, notamment aux risques potentiels et aux précautions qui doivent être prises avant d’installer des appareils additionnels, comme les caméras embarquées. Ils peuvent aussi s’inspirer des meilleures pratiques de sécurité utilisées par leurs concurrents (notamment Tesla), comme un processus de correctif solide pour les mises à jour logicielles par connexion VPN (par tunnel crypté). Si les attaques de sécurité sur les véhicules sont de plus en plus sophistiquées, certaines avancées permettent néanmoins de les devancer.

DJ Singh, Digital Strategy Architect @wiprodigital

 

 

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

A Lyon, la navette autonome de Navya circule sur route ouverte

A Lyon, la navette autonome de Navya circule sur route ouverte

Depuis le début du mois de mars, une navette autonome effectue un parcours de 2,4 km entre la gare ZI Meyzieu et la zone d'activité[…]

Toyota et le MIT prédisent la durée de vie des batteries

Toyota et le MIT prédisent la durée de vie des batteries

Mini-moteurs ioniques, piles à hydrogène, Global Industrie… les meilleures innovations de la semaine

Mini-moteurs ioniques, piles à hydrogène, Global Industrie… les meilleures innovations de la semaine

L'âge d'or du Lidar

L'âge d'or du Lidar

Plus d'articles