CES 2018 : constructeurs et industriels sur la bonne route pour sécuriser la voiture connectée

La voiture connectée et autonome : une cible pour les cybercriminels…

Il faut le rappeler, un véhicule récent intègre plusieurs « ordinateurs » (ou ECU, Electronic Control Unit pour les spécialistes) à son bord. Certains sont bien visibles comme la console de bord, et d’autres sont masqués, comme ceux qui assurent les fonctions de confort ou de pilotage (direction, freins, accélération…).

Toutes ces ECU sont reliées entre elles par un ou plusieurs réseaux, eux-mêmes raccordés au monde extérieur soit par la 3G/4G, soit directement, soit via les différents smartphones qui sont de plus en plus connectés aux véhicules.

Plusieurs types de risques peuvent viser les véhicules, des plus basiques comme des ransomwares, bloquant le fonctionnement du véhicule avant le paiement d’une rançon, jusqu’au scénario, plus catastrophique, de prise de contrôle d’une flotte de véhicules et la réalisation d’accidents en chaîne.

 …une crainte pour le grand public

Les démonstrations d’attaques qui se sont succédées ont réellement fait prendre conscience aux constructeurs et aux intégrateurs l’enjeu d’intégrer la cybersécurité dans les véhicules.

De récents sondages montrent que 56 % des conducteurs américains ne souhaitent pas utiliser un véhicule autonome, en particulier, car ils craignent pour leur sûreté et ne font pas confiance aux systèmes techniques.

Mais de grandes initiatives industrielles ont été lancées. La plus visible reste le rachat par Continental de la société Argus, une des plus avancées dans le sujet de la cybersécurité appliquée à l’automobile.

Sur le terrain cela se traduit également par l’arrivée de solutions de sécurité qui commencent à être adaptées au monde de « l’embarqué automobile ». Plusieurs annonces au CES ont concrétisé ces résultats :  l’intégration des solutions de sécurité de Fortinet dans les calculateurs de Renesas ou encore l’arrivée des solutions d’Argus dans la puce Telemaco3P de chez ST Microelectronics. Et les multiples annonces complémentaires de Blackberry, FEV, ou encore Airbiquity montrent qu’un premier palier de maturité est en train d’être franchi.

Aujourd’hui, il est possible d’embarquer dans un véhicule des solutions de sécurité adaptées aux contraintes particulières de cet environnement. Des solutions de sécurité qui vont permettre de sécuriser les échanges électroniques dans et en dehors du véhicule mais aussi de gérer intelligemment la problématique complexe des mises à jour de sécurité.

L’équipementier NXP a fait des démonstrations en particulier sur ces sujets.  Il s’agit d’une avancée majeure comparé à la situation il y a encore 2 ou 3 ans. Certains acteurs comme IAV, ou encore Byton avec sa nouvelle voiture électrique, mettaient en avant des technologies de reconnaissance faciale pour faciliter l’accès au véhicule et des scénarios d’auto-partage.

L’enjeu de détecter et réagir à de nouvelles attaques

Toutefois, l’intégration de fonction de protection ou d’authentification n’est qu’une première étape ! Comme dans le monde numérique usuel, la menace cyber évolue en continu, et il est essentiel de pouvoir détecter des attaques et d’y réagir, à l’échelle d’un véhicule, mais aussi de l’ensemble de toute la flotte d’un constructeur.

 Sur ce thème de premiers mouvements sont en cours. Il était possible de voir au CES des acteurs tels que Bosch/ESCrypt ou encore Honeywell/Karamba mettant en avant des solutions de détection et de prévention d’intrusion. Ces solutions surveillent en continu les échanges et peuvent détecter des comportements anormaux et des attaques.

Un acteur évoquait, par exemple, une attaque cyber visant à envoyer des fausses instructions sur le réseau pour actionner le frein à main à distance. Leur solution de sécurité pouvait détecter l’attaque et la bloquer. Les solutions évoquées étaient également en mesure de remonter les attaques au centre de surveillance des constructeurs qui peut ainsi décider de réagir sur le véhicule attaqué, voire de mettre à jour en urgence sa flotte.

Ces différents éléments représentent des avancées importantes pour la sécurisation des véhicules autonomes. Les voir présentées au CES, salon clairement orienté vers l’électronique grand public, montre que les constructeurs et les équipements ont saisi l’importance du sujet.

Le grand public se laissera-t-il convaincre ?

Il faut désormais démontrer clairement et simplement au grand public que les véhicules disposent de ces fonctions de sécurité. Pour cela, il est primordial que les acteurs en charge des crashtests ajoutent des critères cyber dans leurs évaluations !

Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone. Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateurs du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.