Cybersécurité : le nouveau défi des voitures autonomes vu par Fortinet

Les voitures sont omniprésentes dans notre quotidien, transportant des millions des personnes en zones urbaines et rurales, d’une ville à l’autre, d’un pays à un autre. Nos véhicules sont devenus intelligents, et les perspectives à venir rendent de nombreux sujets d’actualité : les transports publics semi ou totalement automatisés, et, bien sûr, les voitures sans conducteur. Le Royaume-Uni, la France ou encore la Suisse font partie de ces pays qui testent déjà ces voitures autonomes sur leurs routes.

Selon Gartner, ces véhicules pourraient bien représenter jusqu’à environ 25 % du parc des voitures particulières d’ici 2030. Certains ont déjà une vision particulièrement futuriste d’autoroutes sur lesquelles sillonneraient les voitures en toute autonomie. Les hackers notamment, et ils s’en réjouissent, à la perspective de pouvoir étendre leurs cibles et multiplier les opportunités d’attaques.

Si on considère la prolifération des cyberattaques et autres piratages de données sophistiquées au cours de ces dernières années, les cybermenaces qui pèsent sur ces véhicules autonomes constituent une préoccupation majeure et un réel défi, tant pour les constructeurs automobiles que pour le secteur de la sécurité.

Une voiture sans conducteur est un moyen de transport très évolué, avec peut-être, à terme, la disparition du traditionnel volant. Elle dispose de davantage de composants électroniques que les voitures actuelles et fonctionne à l’aide de capteurs, radars, cartes GPS et autres modules d’intelligence artificielle. Ces nouveaux systèmes de navigation et de sécurité routière doivent être intégrés avec les systèmes électroniques de bord déjà présents dans les véhicules, se connecter avec leur équipementier respectif et, sans doute, offrir de nouveau services via Internet.

Et c’est là que réside le problème : les hackers sont susceptibles d’accéder à distance à un véhicule et de pirater un ou plusieurs systèmes de bord, avec un impact et des risques majeurs, du détournement de données commerciales et personnelles aux dommages physiques encourus par les gens et les biens.

Voici deux risques susceptibles de peser sur les véhicules autonomes et connectés :

• Attaque du système le plus vulnérable : les systèmes et réseaux de bord ne seront pas tous créés de la même façon. Les assaillants tenteront ainsi d’identifier les vulnérabilités des services les moins bien protégés, comme les systèmes de divertissement, pour ensuite s’immiscer sur le réseau de communication de bord et accéder à des systèmes plus sensibles. À titre d’exemple, le système de gestion du moteur communique avec le système de divertissement pour afficher des alertes (« défaut moteur ! » ou « régulateur de vitesse actif »). Ces communications peuvent être la cible d’attaques.
• Stabilité et prévisibilité des systèmes :la nouvelle génération de véhicules autonomes est susceptible de faire appel à des logiciels, open source notamment, fournis par différents éditeurs. L’informatique, contrairement aux systèmes de contrôle industriels qui équipent les voitures conventionnelles, souffre d’imprévisibilité : les systèmes informatiques peuvent ainsi tomber en panne sans prévenir. Ceci est acceptable lorsqu’il s’agit d’un serveur Web inaccessible pour cause de redémarrage des serveurs qui l’hébergent. En revanche, les conséquences peuvent être bien plus fâcheuses lorsqu’une défaillance d’un système Wi-Fi ou de divertissement de bord entraîne un dysfonctionnement du système de navigation.

On peut également s’attendre à ce que des menaces connues, ciblant les équipements mobiles ou les objets connectés, s’adaptent à cette nouvelle cible que constitue la voiture autonome :

• Le ransomware : le ransomware est une menace qui prolifère sur PC et smartphone. Mais une voiture sans conducteur est une cible tout aussi idéale. Imaginons le scénario suivant : un hacker pirate le système d’affichage de bord pour informer un propriétaire que son véhicule est immobilisé jusqu’au paiement d’une rançon. Dans le cas d’un PC ou d’une tablette, la restauration est relativement simple, dans l’hypothèse bien sûr que données et paramètres aient été sauvegardés. Mais le cas d’une voiture autonome est bien différent… Le propriétaire peut être en déplacement, et le ransomware programmé pour ne s’exécuter que lorsque le véhicule est à une distance prédéterminée de sa maison. Les concessionnaires et garagistes ne sauront pas forcément comment gérer une telle panne logique, et devront faire appel à des compétences expertes pour restaurer les composants et systèmes défaillants. Le montant de la rançon demandée pourrait bien être particulièrement élevé, sans doute supérieur à celui de la rançon généralement demandée pour déverrouiller un PC classique. Mais sans doute moins que le coût d’une réparation, pour inciter le propriétaire à régler à la rançon. À ce coût, s’ajoute celui du remorquage probable du véhicule.
• Spyware : Les hackers seront sans doute tentés de recueillir des données personnelles via une voiture connectée. En effet, les véhicules sans conducteur recueillent des volumes importants de données qui en disent long sur le propriétaire : destinations favorites, itinéraires, adresse personnelle, comportements d’achat et même compagnons de voyage. Un hacker, qui sait que vous êtes en vacances et loin de chez vous, peut revendre cette information à des cambrioleurs. Ou utiliser des identifiants de connexion détournés pour s’immiscer au sein de votre compte bancaire.

Et ce dernier risque est particulièrement d’actualité. Une voiture connectée et sans conducteur deviendra sans doute une passerelle pour nombre de transactions électroniques, qu’il s’agisse du paiement électronique de votre café du matin, du coût de parking ou de la facture de révision. La voiture qui héberge des données sensibles devient ainsi une cible pour détourner des informations personnelles. Et avec le développement des cartes de paiement RFID et NFC, l’accès aux informations via la voiture connectée est un nouveau moyen de détourner des données sur vous et vos passagers.

Notons enfin qu’il existe des problématiques légales et d’authenticité. Pouvons-nous considérer les données de localisation d’un véhicule comme authentiques ? Ainsi, si votre voiture indique que vous l’avez utilisée pour vous rendre à un endroit précis, sommes-nous sûrs de la véracité de telles données ? Ces données seront-elles jugées acceptables par une cour de justice ? Ou, au contraire, peut-on manipuler de telles données ? Voila une problématique qui devra être traitée.

De manière similaire, si une voiture sans conducteur est équipée de logiciels fournis par différents éditeurs, et que cette voiture passe d’un réseau à un autre au cours de la journée, qui serait responsable d’un piratage de sécurité et de ses impacts ? S’agit-il d’un défaut logiciel ? D’une administration réseau défaillante ? D’une erreur de l’utilisateur ?

Reste à savoir maintenant comment maîtriser ces risques et sécuriser les voitures autonomes.

Il s’agit, avant toute chose, que les constructeurs prennent conscience des cybermenaces potentielles. Ils disposent d’une expérience robuste en matière de sureté automobile, mais sans doute sont-ils quelque peu moins experts en matière de sécurité, de menace et de piratage. Une collaboration étroite avec le secteur de la sécurité Internet sera au grand bénéfice de tous. Aux États-Unis, le programme Auto-ISAC (information Sharing and Analysis Centre) dédié à l’automobile en est un exemple très intéressant (Voir https://www.automotiveisac.com)

Dans un second temps, l’intégration d’un nombre croissant de technologies au sein d’un véhicule, qu’il s’agisse d’améliorer l’expérience de conduite ou de renforcer les performances, doit s’accompagner d’une gestion des risques et menaces associées. Il est impératif que les technologies de sécurité pertinentes et efficaces soient déployées au sein de ces systèmes, même si cela n’est pas (encore) exigé réglementairement.

De plus, une des problématiques communes à nombre d’objets connectés est qu’ils utilisent des programmes de communication communs qui ne disposent pas de fonctions de sécurité intégrées. On s’étonnera donc qu’à moitié de constater le nombre effarant d’objets connectés non sécurisés à ce jour.

Il est clair que nous devons faire des progrès pour sécuriser les voitures sans conducteur et ne pas se contenter de statut quo actuel qui prévaut au sein de l’Internet des Objets. Les constructeurs automobiles doivent collaborer avec différents fournisseurs, sur tous les territoires sur lesquels leurs véhicules sont commercialisés, et ainsi sécuriser les connexions réseaux avec les véhicules. La sécurité logique des automobiles englobe différents domaines, pouvant utiliser des techniques existantes, mais aussi requérir certaines innovations.

• 1. Communications au sein du véhicule. Les véhicules intelligents disposeront de plusieurs systèmes intelligents à bord dédiés au contrôle du véhicule, au divertissement, à la mise en réseau des passagers et même des systèmes tiers embarqués à la demande des propriétaires. Ces systèmes devront communiquer entre eux pour établir de nouveaux services. Mais ces communications devront être surveillées étroitement et gérées par des pare-feux et des systèmes de prévention d’intrusions, capables de distinguer entre les communications légitimes et celles suspectes au sein du réseau interne de la voiture.
• 2. Communications externes. Les systèmes de bord, pour la majorité d’entre eux, devront communiquer avec des services Internet pour différentes raisons : maintenance par le constructeur, mises à jour logicielles, accès des passagers à Internet, guidage et navigation, achats de biens ou de services ou encore sauvegarde de données. Les communications externes seront sans doute de type “push” et “pull”, initiées à partir de l’habitacle du véhicule, ou à destination du véhicule depuis son constructeur ou d’Internet. Ce trafic bilatéral devra donc être analysé à la recherche de menaces ou communications illégitimes, grâce à un pare-feu et des fonctions de prévention d’intrusion.
• 3. D’autre part, l’infrastructure de connectivité utilisée par un véhicule utilisera sans doute des réseaux cellulaires (services 3G ou 4G notamment). Ces réseaux, qui interconnectent déjà des milliards de smartphones et équipements, connaissent néanmoins des carences en matière de sécurité. Les véhicules intelligents, avec ou sans conducteurs, constituent ainsi un véritable défi. Une attaque ciblant le réseau cellulaire, ou menée via ce réseau, peut aboutir à des dysfonctionnements majeurs sur des milliers de véhicules simultanément. Ainsi, la sécurité des réseaux cellulaires qui assurent la connectivité des véhicules devra être examinée à l’aune de ces nouveaux risques.
• 4. Enfin, des systèmes de contrôle d’accès et d’identification, conçus pour les machines et non les individus, devront être déployés pour que les véhicules puissent authentifier les connexions entrantes vers des systèmes critiques, tandis que les services Internet pourront authentifier avec certitude les voitures et informations émises vers le cloud, ou les requêtes de transactions réalisées par les propriétaires, à l’image des demandes de service ou de règlement de carburant ou de péage.