Les nouvelles technologies qui se démocratisent séduisent les consommateurs, impatients d’en faire l’expérience. Dans l’industrie automobile, ces innovations ont cependant un coût. La généralisation des technologies numériques s’est en effet accompagnée d’une augmentation des risques associés.
Contrairement à hier, où les voitures avaient besoin d’un conducteur et d’essence, les nouveaux véhicules pourraient bientôt être entièrement autonomes et communiquer avec d’autres. [Mais attention], ces avancées technologiques puissantes ouvrent aussi la voie à une toute nouvelle série de vulnérabilités et de défis que l’industrie automobile va devoir relever.
Les innovations dans le secteur automobile génèrent un risque accru de cyberattaques
Véhicules connectés
L’un des grands défis pour l’industrie automobile concerne les véhicules connectés. Apparus avec les mutations du secteur, les véhicules connectés existent sous différentes formes. Dans leur forme la plus élémentaire, ils communiquent soit avec d’autres véhicules, soit avec d’autres dispositifs et systèmes. Or, ces processus de communication sans fil mettent clairement en évidence les risques cyber inhérents à ces véhicules. En effet, la connectivité de ces véhicules peut être exploitée par des cybercriminels pour accéder à leurs systèmes critiques, comme le freinage, la direction et le moteur.
Problème : une fois qu’un véhicule connecté a été piraté, les hackers peuvent se déplacer latéralement dans le système et attaquer potentiellement d’autres systèmes connectés. Beaucoup de voitures et de véhicules peuvent se connecter à nos smartphones via le système V2X (Vehicle-to-Everything). Il suffit d’une attaque sur un seul véhicule pour qu’un pirate ait accès à d’autres cibles — on pense notamment aux téléphones portables.
Autre problème avec les véhicules connectés : ils communiquent souvent de véhicule à véhicule (V2V). Autrement dit, un attaquant qui obtient l’accès à un véhicule peut ensuite attaquer d’autres véhicules. Pour les spécialistes en cybercriminalité, les déplacements latéraux sur un réseau sont un sujet de préoccupation majeure. Et les véhicules connectés sont particulièrement à risque face à ce type d’attaque.
Véhicules électriques
Les véhicules électriques sont rapidement en train de devenir la norme dans l’industrie automobile. Le récent fléchissement des ventes de voitures électriques s’explique par la flambée des prix de l’énergie et le manque de modèles à des prix abordables. Par ailleurs, même si 59 % des Américains ont un [bon] score de solvabilité (le « credit score »), la hausse de l’endettement fait baisser cette note, ce qui complique l’accès au financement de véhicules électriques neufs. Selon les experts, il n’en reste pas moins que les ventes de véhicules électriques vont continuer à tirer le marché mondial de l’automobile.
Les véhicules électriques embarquent des dispositifs électroniques et des systèmes réseau qui assurent leur bon fonctionnement. Tesla propose à cet égard des mises à jour logicielles régulières pour ses véhicules. Mais si ces systèmes confèrent aux véhicules électriques un avantage sur le plan des performances, ils contribuent aussi à les rendre vulnérables. Qu’il s’agisse d’un bloc de batteries, d’une borne de recharge payante ou de serveurs distants utilisés pour communiquer avec les véhicules, tous ces systèmes représentent des vulnérabilités.
Un cybermalfaiteur qui s’en prend à ces systèmes peut réduire la durée de vie de la batterie d’un véhicule ou empêcher qu’il se recharge sur une borne publique. Il peut aussi prendre le contrôle de tout le véhicule par le biais du WiFi. Les bornes de recharge publiques constituent un vecteur d’attaque particulièrement exposé. Elles peuvent être attaquées comme un distributeur automatique de billets. Ces sous-systèmes doivent être intégrés à la réflexion lors de l’élaboration d’un plan de cybersécurité pour l’industrie automobile.
Véhicules hautement autonomes
Même si Tesla ne prévoit pas la commercialisation grand public de voitures 100 % autonomes cette année, les routes [américaines] accueillent de plus en plus de véhicules hautement autonomes. Ainsi, les constructeurs Waymo et Cruise (filiale de GM) font rouler leurs véhicules sans conducteurs sur la voie publique. Malgré un périmètre encore limité, ces véhicules autonomes posent un problème bien spécifique aux experts en cybersécurité. Pour fonctionner, ces technologies reposent sur l’intelligence artificielle (IA) et l’apprentissage machine. Or, ces deux technologies sont particulièrement vulnérables aux attaques par évasion et aux manipulations sensorielles.
Pour comprendre son environnement, l’IA s’appuie sur des données externes, comme l’être humain. Lorsque des pirates informatiques s’attaquent à un véhicule autonome, ils peuvent détourner ses capteurs et entraîner l’arrêt du véhicule ou en prendre le contrôle total. Dans un tel scénario, les dégâts peuvent être extrêmement graves. La sécurisation des technologies d’IA est donc un prérequis absolu pour protéger l’avenir des véhicules hautement autonomes.
Quelles sont les principales cybermenaces pour les constructeurs automobiles ?
Comment un attaquant accède-t-il aux systèmes critiques des véhicules ? Pour éliminer les cybermenaces, il faut tout d’abord identifier l’origine des attaques. Et pour garantir la sécurité des véhicules de demain pour tous, les constructeurs automobiles vont devoir limiter au maximum ces menaces.
Attaques par hameçonnage (phishing)
Partout, les attaques par hameçonnage font planer en permanence une menace sur les systèmes numériques. Contrairement aux attaques par force brute, le phishing repose sur des techniques d’ingénierie sociale. L’objectif : inciter les utilisateurs à ouvrir un e-mail, un lien ou tout autre message pouvant être utilisé à des fins malveillantes — à savoir, recueillir des données de connexion ou exécuter des malwares.
Le phishing représente un danger sérieux pour l’industrie automobile. En effet, une attaque réussie peut permettre aux pirates d’accéder à un nombre illimité de systèmes. Même le serveur central qui contrôle les véhicules autonomes peut être touché, si l’attaque par hameçonnage est bien menée. Le seul moyen d’éviter ces types d’attaques passe par la formation. Il faut apprendre à tout le monde à repérer une attaque et à ne jamais communiquer spontanément ses informations.
Attaques par force brute
Contrairement à l’hameçonnage, qui consiste à tromper les gens pour les inciter à communiquer des informations, les hackers qui attaquent par force brute cherchent à s’introduire directement dans un système pour obtenir des accès. Les attaques par force brute sont le type d’attaque la plus fréquente dans l’industrie automobile. Elles ciblent les vulnérabilités connues des systèmes ou utilisent une technique appelée « bourrage de mots de passe » pour obtenir des accès et se connecter. Avec l’IA et l’apprentissage machine, mais aussi à cause des performances des nouveaux processeurs et cartes graphiques, ceux qui emploient la force brute ont perfectionné leurs attaques qu’ils lancent à des vitesses stupéfiantes.
Les fonctions de temporisation (ou cool-down) empêchent les tentatives d’accès répétées. Sans fonction de temporisation, les systèmes embarqués et autres logiciels spécialisés sont particulièrement vulnérables aux attaques par force brute. Attaques qui, rappelons-le, permettent aux cybercriminels d’accéder à de nombreux systèmes automobiles.
Attaques par rançongiciel
Pour les pirates informatiques, les rançongiciels sont devenus un moyen d’accroître leurs revenus. Contrairement aux autres attaques qu’ils mènent pour récupérer des données dans le but de les revendre au marché noir, les ransomwares leur permettent de prendre le contrôle des systèmes, jusqu’au versement de la rançon exigée. Le plus dangereux dans ce phénomène est la transformation du ransomware en véritable modèle économique : le Ransomware-as-a-Service (RaaS). Avec le RaaS, les cybercriminels vendent leurs services de ransomware et prélèvent ensuite une part de la rançon versée.
Pour l’industrie automobile, les ransomwares et le modèle RaaS représentent un sérieux danger puisque les véhicules eux-mêmes peuvent être rançonnés ! Si les interruptions des services cloud perturbent déjà les entreprises, imaginez quels seraient les coûts liés à l’arrêt d’une flotte entière de véhicules. Pour rassurer leurs acheteurs, les constructeurs automobiles vont devoir traiter la cybersécurité comme une priorité majeure.
Renforcer la cybersécurité automobile
Face à ces enjeux, l’industrie automobile s’appuie sur de bonnes pratiques de cybersécurité et développe les siennes. L’Organisation internationale de normalisation (ISO) et la Society of Automotive Engineers International (SAE International) ont récemment publié leur norme précisant la réglementation et les exigences en matière de cybersécurité pour les véhicules automobiles. Le respect de ces normes peut contribuer à rapprocher les constructeurs automobiles autour d’un objectif commun : l’amélioration de la sécurité des véhicules du XXIe siècle pour tous.
La blockchain peut également jouer un rôle dans la sécurisation des transactions effectuées sur les réseaux automobiles. D’autres technologies déjà connues, comme l’utilisation de mots de passe forts, le chiffrement des données et l’authentification multifacteur, peuvent également contribuer à améliorer la résilience de l’industrie automobile face à la cybercriminalité.
Mais avant toute chose, la prévention de la cybercriminalité dans l’industrie automobile et les autres secteurs exige une mobilisation des ressources humaines pour former les employés à l’importance de la sécurité numérique. Cette démarche de formation est indispensable pour permettre à chacun de mesurer l’importance de la cybersécurité et contribuer à limiter les cyberattaques.
Cybersécurité : 9 défis à relever en entreprise
Remarque : Cet article de blog a été écrit par un contributeur invité dans le but d'offrir une plus grande variété de contenu à nos lecteurs. Les opinions exprimées dans cet article d'auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de GlobalSign.