Est-ce que vous vous souvenez, en 2014, lorsque des millions de personnes se sont réveillées un beau matin avec un album de U2 sur leur appareil qu’elles n’avaient pas téléchargé ? Beaucoup d’utilisateurs se sont plaints, à juste titre, de la démarche. Car beaucoup pensaient avoir le contrôle sur ce qui était téléchargé et installé sur leurs téléphones. Et voir un tiers s’immiscer de la sorte dans leur bibliothèque musicale était particulièrement troublant. Une situation similaire s’est produite cette année, avec des conséquences plus graves néanmoins, lorsque des propriétaires de téléphones Android ont reçu automatiquement sur leur appareil des mises à jour contenant des malwares.
Et si la même chose arrivait à votre voiture ? Nous avons tendance à considérer nos véhicules comme des systèmes fermés, dans lesquels le conducteur est maître de sa conduite. Mais imaginez qu’un pirate parvienne à prendre le contrôle de votre radio et à monter le son si fort que vous ne parveniez plus à vous concentrer sur la route ? Ou qu’il éteigne vos feux à distance ? Ou, pire encore, qu’il désactive votre logiciel d’assistance à la conduite afin que la voiture ne puisse pas détecter les obstacles ou les piétons ? Alors que le logiciel prend de plus en plus d’importance dans les véhicules et que les constructeurs rentrent peu à peu dans le business de la donnée, la cybercriminalité devient une préoccupation de premier plan pour le secteur. Et, comme le montre la récente étude sur la surface d’attaque des capteurs dans les voitures autonomes, la réalité n’est pas très loin de la fiction illustrée par le film « Boite Noire ».
Quels sont les nouveaux risques et que peuvent faire les fabricants pour y remédier.
Les algorithmes, nouvelle cible des pirates
J’ai récemment publié une tribune évoquant les risques liés à l’utilisation des algorithmes ADAS (advanced driver-assistance systems, ou aide à la conduite automobile) proposés par des éditeurs tiers sur le cloud public. Par manque de temps, de ressources ou d’expertise, les constructeurs ne peuvent véritablement analyser les formules mathématiques et les centaines ou milliers de lignes de codes qui composent ces algorithmes et ont donc peu de visibilité sur la manière dont ils ont été implémentés. Mais la cybermenace peut prendre de multiples formes. L’une des problématiques émergentes dans le monde de la conduite autonome est par exemple l’apprentissage automatique contradictoire. L’objectif pour les pirates serait de parvenir à tromper l’algorithme d’un véhicule autonome en l’alimentant avec des données erronées. Comment ? Tout simplement en apposant des autocollants sur les panneaux de signalisation ou en utilisant de la peinture sur la route, afin de perturber les capteurs de la voiture et générer une mauvaise réponse de la part du système.
Ce type de menace visant les véhicules autonomes peut sembler lointain. Mais prenons un autre exemple. Quel que soit leur niveau d’autonomie, tous les véhicules neufs mis sur le marché en France à partir de mai 2022 devront embarquer une boîte noire, chargée d’enregistrer certaines données de conduite qui seront accessibles aux forces de l’ordre en cas d’accident. Des pirates pourraient tenter de pénétrer ces nouveaux dispositifs afin de manipuler les données qui y sont stockées.
Allons un cran plus loin. Plutôt que de toucher un véhicule à la fois, les attaquants pourraient également cibler l’infrastructure sous-jacente d’une flotte entière de voitures. Les chercheurs de l’institut allemand Fraunhofer IESE (Experimental Software Engineering) alertent notamment sur les risques encourus par le backend. Infecté par un malware, l’infrastructure cloud utilisée par une flotte pourrait automatiquement transmettre des logiciels malveillants à des millions de véhicules à la fois, exactement comme on l’a vu plus haut avec les smartphones. Enfin, autre cible qui intéresse particulièrement les attaquants : les données propriétaires liées aux différentes technologies intégrées à une automobile. Cette propriété intellectuelle constitue un différenciateur concurrentiel majeur pour les constructeurs et donc une cible de choix pour les ransomwares. Selon Accenture, le coût moyen d’une telle attaque est estimé à 15,8 millions de dollars dans l’industrie automobile.
Un nouveau code de conduite pour les constructeurs
Face à ces risques, la législation et les bonnes pratiques se mettent en place. La règlementation UNECE WP29 sur la cybersécurité automobile, qui entrera en vigueur en 2022, impose aux constructeurs la mise en place d’un système de gestion de la cybersécurité (CSMS, Cybersecurity Management System) et d’un système de gestion des mises à jour logicielles (SUMS, Software Update Management System). Des initiatives de normalisation, telles que l’ISO TR 4804 et ISO SAE 21434 visent également à standardiser les méthodes de développement et de validation des systèmes de conduite automatisée. L’institut Fraunhofer IESE a de son côté récemment établi une alliance pour développer une architecture sécurisée de référence pour les véhicules autonomes, qui comprend notamment les groupes Volkswagen et Denso.
La cybersécurité s’impose comme une priorité business critique pour les constructeurs automobiles. Un récent rapport, confortant une autre étude de McKinsey, prédit que le marché mondial de la cybersécurité automobile augmentera de 21,7 % par an pour atteindre 10,92 milliards de dollars en 2030. En tant que constructeur, il existe des partenaires qualifiés avec qui vous pouvez travailler et de nombreux moyens de sécuriser vos logiciels et vos véhicules, surtout si vous ne disposez dans vos équipes d’experts en sécurité du cloud. Certains fournisseurs, comme Bosch et Continental, ont commencé à inclure des tests de sécurité dans leurs offres de « control as a service ». Chez Dell Technologies, nous développons des solutions en collaborations avec les constructeurs automobiles pour leur permettre de faire face au déluge de données en toute sécurité. Nos solutions de cyber-protection et de récupération basées sur l’isolation des données exploitent le machine learning pour détecter les attaques en temps réel et prendre des mesures pour minimiser l’impact de l’attaque tout en récupérant les données depuis un coffre-fort numérique isolé du réseau.
Pour plus d’informations, découvrez nos solutions dédiées à l’automobile et la protection des données contre les risques Cyber.
