Pas de sécurité automobile sans une montée en compétence des développeurs de logiciels… et des conducteurs

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito: “Pas de sécurité automobile sans une montée en compétence des développeurs de logiciels… et des conducteurs” par Frédéric Simottel

Pour les abonnés payants:

• Études: Baisse du délai médian des intrusions détectées dans les organisation

• La Tribune: “Cybersécurité : des boîtes à outils aux services managés” par Romain VERGNIOL RSSI du Groupe Cegedim

• A ne pas manquer sur le web: Une rançon payée à des cybercriminels pour protéger des données sensibles volées

En vidéo ou pendant un salon, vous avez certainement tous vécu ou vu le piratage de commandes sur des véhicules connectés. A partir d’un script préparé, le hacker ouvrait le clapet à essence d’une Tesla (en l’occurence), ouvrait/fermait les vitres. C’était impressionnant, un peu anxiogène et aura au moins eu pour mérite de pousser les constructeurs auto à s’intéresser au concept du « sécurité par design ». Cela n’a bien entendu pas freiné les innovations dans le domaine. Les véhicules sont devenus plus intelligents. La différence est qu’aujourd’hui c’est tout leur écosystème qui est en train de se connecter. Et cela va bien au-delà du simple raccordement de son smartphone au système multimédia de la voiture. plus des services Les voitures s’échangent des informations entre elles, recueillent des données des panneaux indicateurs, téléchargent des mises à jour à distance depuis le site de leur constructeur,  ou « parlent » avec leur borne de recharge électrique, augmentant ainsi leur surface d’attaque. La sécurité dans l’embarqué ; on se croitait revenu 20 ans en arrière et pourtant non, ce fut l’un des thèmes débattus pendant le Forum InCyber qui s’est déroulé à Lille fin mars.

Pas de sécurité automobile sans une montée en compétence des développeurs de logiciels… et des conducteurs 

Cela fait bien entendu un moment que les véhicules sont connectés. Les plus hauts de gamme disposent depuis plusieurs années de l’accès à un réseau de secours, ou d’alertes automatiques de sécurité. Ces fonctions se généralisent aujourd’hui et s’enrichissent de contrôle et de pilotage à distance, d’adaptation automatique à l’environnement, de coordination avec des objets alentours, ou de programmes de maintenance à distance. Le BCG estime que nous approchons les 13 millions de voitures connectées en circulation en France et qu’à l’échelle de la planète, ce seront 600 millions de véhicules intelligents qui sillonneront les routes.

Une intelligence qui était jusqu’alors très largement passive (divertissement, navigation) et qui devient donc plus connectée, intégrant les services que je viens de citer. Les propriétaires de Tesla ont par exemple reçu récemment une mise à jour permettant la détection et l’alerte de véhicules dans les angles morts. D’une connexion cellulaire 2G, 3G, les voitures sont passées au Wifi à l’intérieur du véhicule, 4G/5G en dehors et fonctionnent désormais en réseau. Des travaux en amont de votre trajet, un accident, une plaque de verglas vous seront ainsi signalés par un autre véhicule. De même, votre concessionnaire ou constructeur mettra à jour vos logiciels embarqués sans un retour par la case garage. Problème, dès que l’on parle réseaux, connexions, datas, se pose immédiatement la question de la cybersécurité. 

Piratage des carnets d’adresse téléchargés dans les voitures

En quête de données, les pirates s’attaquent aussi aux objets mobiles. En 2023, 95% des attaques portées sur les véhicules ont été opérées à distance, 85% à très longue distance, c’est-à-dire sans forcément se trouver à proximité du véhicule. Elles sont de plusieurs natures : piratage des données personnelles des utilisateurs (comme les carnets d’adresse téléchargés dans les voitures) jusqu’à la perturbation de systèmes embarqués dans le véhicule (comme la navigation avec le GPS). Et comme dans le monde fixe, cela ne va pas aller en ralentissant, autant donc pousser le bouchon de la sécurité le plus loin possible avec notamment ce concept de « sécurité by design ». Il s’agit de chiffrer les données, de répartir la sécurité par niveau avec un degré très important donné aux fonctions vitales, des passages de contrôle obligés pour les flux internes les plus sensibles. Côté constructeur, il faut aussi mettre en place une plateforme de monitoring capable d’anticiper les problèmes. 

Maîtriser le logiciel embarqué aussi bien que la mécanique

Attention, ces processus nécessitent une collaboration accrue des différents acteurs de l’industrie automobile avec la mise en place d’un écosystème intégré et des normes de sécurité communes. Ce que les industriels ont su faire sur leur métier initial, il faut le porter aujourd’hui sur les nouveaux pans numériques de leurs compétences. Luca de Meo, patron de Renault est d’ailleurs l’un des patrons à porter haut et clair se stratégie de maîtriser le logiciel. Au passage, rappelons que le marché du logiciel embarqué dans les voitures devrait passer de 50 milliards de dollars en 2019 à $150 en 2030. 

Et dans la perspective de l’aide à la conduite autonome, les constructeurs se doivent d’intégrer IA et apprentissage automatique pour relever les niveaux de sécurité. A eux de repenser complètement l’architecture de circulation des données à l’intérieur et en dehors du véhicule ; de s’appuyer sur des réseaux complexes de capteurs, sur des algorithmes de sécurité applicables tant dans les communications entre véhicules (V2V) qu’entre véhicule et infrastructures (V2I). Il faut protéger à la fois le véhicule mais également les interactions avec les systèmes externes tels que les feux de signalisation, les gestionnaires de stationnement ou les bornes de recharge. 

Une dernière chose, il faudra aussi penser à informer et à sensibiliser les conducteurs des nouveaux risques inhérents à leurs véhicules intelligents.

...