Comment garantir la cybersécurité des véhicules connectés ?

Comment garantir la cybersécurité des véhicules connectés ?

© Pixabay by TheDigiTalarTisT

La sécurité routière va au-delà de la protection physique des passagers. La cybersécurité s’inscrit en effet comme un enjeu aussi fondamental avec le développement du véhicule autonome et connecté.

Selon la définition donnée par le Comité européen de la protection des données (CEPD), un véhicule connecté est équipé de nombreuses unités de commandes reliées entre elles au moyen de réseaux embarqués et de dispositifs de connectivité (Cloud, IoT, 5G ou Bluetooth). Ceux-ci permettent de partager des informations, tant à l’intérieur du véhicule qu’à l’extérieur, pour des finalités d’applications diverses qui concernent la sécurité, la gestion du véhicule, le divertissement ou encore l’infotrafic. « Dans un avenir proche, les voitures communiqueront également avec d’autres voitures dans leur environnement pour informer et avertir des menaces à proximité telles que les embouteillages ou les accidents », prédit Nicolas Degrenne, responsable de la stratégie marché et des ventes pour la mobilité connectée chez T-Systems International.

D’après les estimations du spécialiste en cybersécurité Trend Micro, il y aurait environ 125 millions de voitures particulières connectées vendues dans le monde. D’ici à 2023, ce sont 775 millions de véhicules privés qui seront connectés, avance cette fois une étude de marché Juniper Research. Et ce sans compter les flottes de véhicules professionnels comme les VTC, taxis, camions ou drones de livraison. On assiste donc à l’émergence d’un écosystème alambiqué de véhicules de plus en plus intelligents. Or, ces derniers offrent une surface d’attaque toujours plus importante et sont particulièrement exposés aux cyberattaques, comme le confirment SeungTaek Chang, ingénieur marketing chez Keysight, et Thomas Leifert, directeur chargé du développement des solutions automobiles et énergies de l’entreprise.
« Les véhicules utilisent souvent le réseau de zone de contrôleur (CAN) pour communiquer avec leurs composants tels que les modules, les unités de commande électroniques (ECU), les systèmes IVI et les unités télématiques. Ces derniers peuvent alors être utilisés comme entrées physiques pour accéder au système et toute interface peut être revendiquée comme surface d’attaque », détaillent-ils. Dès lors, l’impact d’une attaque gagne en dangerosité à mesure que davantage de responsabilités sont transférées de l’humain au volant à la machine et les conséquences peuvent être très graves. La preuve en 2015 avec le piratage – à des fins scientifiques – d’une Jeep Cherokee par deux chercheurs en sécurité informatique, Charlie Miller et Chris Valasek. Les deux hackers avaient réussi à prendre le contrôle, à distance, des freins, de la radio et d’autres fonctions du véhicule en exploitant une faille touchant la plateforme d’info-divertissement Uconnect. Une expérience qui a conduit le groupe Fiat Chrysler à rappeler 1,4 million de voitures et camions.

Réduire le cyber-risque

Parmi les menaces récurrentes, on retrouve les ransomware (ou rançongiciel), le phishing (ou hameçonnage), la divulgation de données mais aussi l’usurpation d’identité ou la prise de contrôle à distance. Car, comme l’observe Maître Vanessa Younès-Fellous, « le véhicule connecté est comme un ordinateur. » « Le risque provient de la complexité du système. Actuellement, un véhicule moderne nécessite 100 à 150 millions de lignes de code. Le potentiel d’exploitation est donc énorme ! », notent aussi les experts de Keysight. Il s’agit donc de mettre sous contrôle des systèmes critiques et ce en temps réel afin de se prémunir d’atteintes évolutives, sophistiquées et compliquées à anticiper – même si la confidentialité des données semble l’actuelle cible privilégiée des pirates.
La question de la responsabilité en cas d’accident dérivant d’une cyberattaque constitue également un point urgent à éclaircir, en particulier pour les assureurs. Par conséquent, « il est nécessaire de mettre en place des garde-fous avec une authentification forte et du chiffrement », fait valoir Maître Vanessa Younès-Fellous. Le CEPD* préconise notamment de mettre en place une gestion des clés de chiffrement propre à chaque véhicule et non à chaque modèle et de chiffrer les données stockées à distance au moyen d’un algorithme de pointe. Le CEPD se dit également favorable à « conserver l’historique du journal d’accès du véhicule pour détecter les anomalies et comprendre l’origine des attaques. »
L’Union européenne a ouvert, du 29 mars au 21 juin 2022, une consultation publique sur « l’accès aux données, aux fonctions et aux ressources des véhicules » dont le but est de fixer des bases « qui soient claires et favorables à la concurrence pour les services qui sont basés sur l’accès aux données du véhicule » – entretien, autopartage, MaaS (Mobility as a Service) et assurance entre autres. Ainsi, toute contrainte étant stimulante pour la créativité, l’introduction d’une cybersécurité renforcée peut induire le développement de solutions innovantes qui devront s’inscrire dans la durée de vie longue d’un véhicule. Elles ne doivent cependant pas faire oublier que le conducteur a aussi un rôle à jouer dans la protection de son véhicule en étant sensibilisé aux risques pris lorsqu’il utilise sa voiture en branchant un port USB ou bien en reprogrammation/débridant l’iOS (jailbreak).
* Lignes directrices 01/2020 du Comité européen sur la protection des données (CEPD) sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité adoptées le 9 mars 2021.

Retrouvez l'intégralité de cette enquête dans le numéro 275 de L'Automobile & L'Entreprise

Nous vous recommandons

Business, des finitions en question

Dossier

Business, des finitions en question

Quel avenir pour les versions ou les finitions Business ? Si les marques automobiles présentes sur le marché français sont nombreuses à les maintenir, toutes s’interrogent. Ont-elles encore une véritable attractivité ?À la fin des...

24/05/2022 | BMWMercedes-Benz
LeasePlan met le cap sur la location moyenne durée

LeasePlan met le cap sur la location moyenne durée

L'œil de l'expert : « L’incertitude sur les valeurs résiduelles »

Tribune

L'œil de l'expert : « L’incertitude sur les valeurs résiduelles »

Ford Fleet Management ouvre ses portes en France

Ford Fleet Management ouvre ses portes en France

Plus d'articles