Recevez chaque jour toute l'actualité du numérique

x

"Il y a eu une vraie prise de conscience des constructeurs automobile français dans la cybersécurité"

Qui dit véhicule connecté, dit véhicule qui peut être piraté. Thales, qui conseille les industriels français en la matière, revient sur la manière dont le secteur automobile réagit face à ce danger depuis quatre ans.
Twitter Facebook Linkedin Flipboard Email
×

Il y a eu une vraie prise de conscience des constructeurs auto français dans la cybersécurité
Les constructeurs français ne restent pas les bras croisés face à la cyber-menace. © Renault

L'essor de la connectivité dans les véhicules automobiles a entraîné une augmentation de la vulnérabilité de ces derniers face aux cyberattaques. Les preuves de concept spectaculaires se sont multipliées ces dernières années sur divers types de voitures, l'archétype restant l'affaire de la Jeep qui a poussé Fiat Chrysler à rappeler 1,4 million de véhicules en 2015.

 

L'industrie automobile a rattrapé son retard

La situation n'est pas désespérée pour autant, d'après Laurent Sudarskis de Thales, qui mène des missions de conseil auprès des constructeurs automobile français. "Il y a eu une vraie prise de conscience de leur part en matière de cybersécurité depuis quatre ans, explique-t-il. Notre activité de conseil est d'ailleurs née de leur besoin en la matière. Nous avons commencé sur de petites missions liées à la sécurité des communications entre le système embarqué et l'extérieur, puis nous nous sommes rapidement retrouvés mobilisés sur la structure de l'embarqué en lui-même."

 

Les vecteurs d'attaque sont nombreux : système de divertissement à bord, connexion GSM entre le véhicule et le constructeur (pour la télématique mais aussi le système d'appel d'urgence, bientôt obligatoire), et bien sûr la prise OBD2 utilisée par les garagistes pour effectuer les diagnostics du véhicule. Les menaces en elles-mêmes vont de la simple nuisance (son à fond, chauffage au max) au vol de véhicule, jusqu'au scénario catastrophe d'une atteinte aux fonctions vitales (freinage, direction assistée...).

 

Les sous-traitants en première ligne

Un travail de fond a été effectué par les constructeurs et leurs sous-traitants pour rattraper le retard de l'industrie en la matière. S'ils sont encore loin d'être au niveau d'exigence de l'aéronautique, notamment à cause de l'absence de standardisation et certifications, Laurent Sudarskis estime que les attaques très médiatisées de ces dernières années ne sont aujourd'hui plus un problème. "Il reste toujours du travail à faire, on peut toujours aller plus loin. Nous revérifions d'ailleurs systématiquement les nouvelles versions d'équipement, deux fois par an. Mais globalement, le niveau est satisfaisant par rapport à il y a trois ans. On a par exemple vu se développer chez les équipementiers le secure boot, le chiffrement, la signature de mises à jour, les gateway…"

 

Thales intervient à plusieurs niveaux. "Nous aidons à mettre en place des méthodologies au plus près de la conception, et nous réalisons par la suite des audits techniques, avec des tests d'intrusion des équipements. Cela va du détournement d'interface à l'appairage malveillant en passant par les attaques physiques sur les composants... C'est très exhaustif."

 

La vulnérabilité d'une flotte entière reste le vrai scénario catastrophe

Il faut dire que toutes les vulnérabilités ne se valent pas. Le vrai cauchemar pour un industriel, c'est une attaque sur l'ensemble d'une flotte, touchant des milliers de véhicules. "C'est devenu très très compliqué. La majorité des nouvelles preuves de concept demandent un accès physique. Même si cela reste sérieux, la gravité immédiate est bien moindre."

 

C'est pourquoi le vrai enjeu reste la mise à jour "over the air", par connexion cellulaire. "On ne pourra pas faire sans, c'est la marche du progrès. Mais il reste des problématiques, non seulement pour sécuriser d'un point de vue technique, mais aussi dans les processus. Quand effectue-t-on la mise à jour ? Quand le véhicule roule ? Quand il est à l'arrêt ? Est-ce qu'on l'immobilise tant qu'elle n'est pas finie ? Il y a déjà des solutions sécurisées dans ce domaine, mais leur déploiement à grande échelle sera un challenge dans les années à venir".

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media