Prenons le marché de l’automobile à l’heure de l’Internet des Objets (IoT). La plupart d’entre nous pensent alors « voiture connectée » ou « Google car ». Aujourd’hui, les avantages de l’IoT sont axés sur le consommateur et n’offrent que des fonctions de base, notamment en termes de praticité, de maintenance et de sécurité. Demain, nos interactions avec nos véhicules n’auront plus rien à voir avec aujourd’hui, comme le laissent présager les tests et développements actuellement menés par Google sur sa voiture autonome. Un jour, nous serons peut-être de simples passagers à bord de véhicules qui communiquent entre eux. Le but : optimiser nos trajets et nous conduire d’un point A à un point B dans des conditions de sécurité maximales.
Aux États-Unis, lorsque l’on parle de sécurité, la diffusion sur CBS d’un reportage sur le piratage d’une Jeep connectée a marqué les esprits. Était-ce impressionnant ? Oui, mais en braquant les projecteurs sur un défaut potentiellement critique et une faille de sécurité, l’émission a surtout provoqué le rappel de 1,4 million de véhicules. Les constructeurs automobiles misent en outre sur leurs fonctions connectées, comme le wifi embarqué ou les applications mobiles qui contrôlent la fermeture des portes - ou démarrent même les véhicules. Avec ces fonctionnalités « branchées », le critère de nouveauté prime sur les conséquences négatives. Mais que se passe-t-il lorsqu’un consommateur se fait voler son téléphone ? Existe-t-il des mesures de sécurité et d’authentification pour s’assurer que la voiture ne sera pas également volée ? Ces questions méritent réflexion.
En tant que consommateurs, devons-nous nous inquiéter ? Peut-être, peut-être pas. Il est sans doute encore trop tôt pour parler d’épidémie. Nous devrions cependant commencer à nous intéresser de près à ces fonctionnalités connectées et à leur impact, positif ou négatif, sur nous. Il va falloir traiter de ces questions de sécurité, d’autant que le nombre de véhicules intégrant des fonctionnalités connectées est en augmentation. Il en va de notre sécurité, et de la confidentialité de nos données personnelles et de nos biens.
Nouveaux risques pour les constructeurs automobiles
Pour l’heure, les premiers à devoir se préoccuper de ces vulnérabilités sont les constructeurs automobiles. Un reportage négatif à une heure de grande écoute, comme dans l’exemple plus haut, peut avoir des conséquences désastreuses sur l’image de marque et la réputation. De telles vulnérabilités mettent par ailleurs en péril les consommateurs et font exploser les coûts des réparations sous garantie, dès lors que plus d’un million de véhicules sont concernés. Personne ne souhaite être associé à un tel incident ou devoir payer la facture d’un préjudice réputationnel aussi lourd. Pour limiter les dommages, Fiat Chrysler a dû rappeler ses véhicules en nombre et supporter les coûts connexes. Si un accident dramatique était survenu, les conséquences auraient été irréparables ; le constructeur aurait également joué sa survie.
Heureusement, le secteur automobile a pris conscience du problème. La cybersécurité figure désormais à l’ordre du jour de l'Alliance of Automobile Manufacturers, une association qui regroupe 12 constructeurs automobiles dont BMW, Fiat Chrysler, Ford, GM, Jaguar Land Rover, Mazda, Mercedes-Benz, Mitsubishi, Porsche, Toyota, VW et Volvo.
Mais pour les constructeurs automobiles, ce type d’incident n’est peut-être que la partie émergée de l’iceberg. Si les exploits de hackers capables de prendre partiellement le contrôle d’un véhicule attirent l’attention des médias, ce qu’il se passe en phase d’ingénierie et de fabrication est autrement plus sensible. Quelques exemples pour y voir plus clair...
La sécurité, sujet de préoccupation dans les ateliers des constructeurs
Avant qu’une voiture prenne la route, sa fabrication obéit à des process extrêmement précis qui répondent à des normes de qualité drastiques. La sécurité de chacun dépend de la qualité des véhicules fabriqués et vendus. Aujourd’hui, le processus de fabrication est quasiment entièrement automatisé. Pour optimiser ce processus, les sites de fabrication et les équipements sont interconnectés. Cela favorise l’analyse et le partage de données cruciales. C’est ce que l’on appelle l’Internet Industriel des Objets (IIoT), ou encore l’Industrie 4.0. L’exploitation de ces données peut être extrêmement puissante et permettre aux constructeurs d’économiser plusieurs millions de dollars. Mais l’interconnexion de ces équipements ouvre également la porte à de nouvelles vulnérabilités qui peuvent mettre le constructeur, ses employés et ses clients en danger.
Imaginons qu’une partie d’un équipement de fabrication ou d’un service logiciel soit compromise lors d’une attaque. De graves problèmes peuvent alors survenir. Si un hacker accède à un capteur de surveillance de température sur un équipement de fabrication, en quoi cela pourrait-il impacter la sécurité des employés ? Maintenant, que se passerait-il en cas de modification malveillante du logiciel indiquant à un équipement le nombre de boulons à installer pour caler le châssis d’une voiture sur la chaîne d’assemblage ? En quoi cela impacterait-il la sécurité du consommateur ? C’est dans les coulisses de l’Internet industriel des objets que les scénarios de sécurité doivent être réécrits avant qu’ils ne fassent la une des médias.
Garantir l’intégrité des firmwares
Maintenant que les voitures ne sont plus que de simples processeurs informatiques sur roues, les fonctions des véhicules sont commandées par un nombre impressionnant de logiciels et micrologiciels (firmwares) embarqués. L’installation initiale de ces logiciels et micrologiciels s’effectue en usine, pendant la fabrication, généralement dans un environnement contrôlé. Les véhicules soumis à l’épreuve du temps et des kilomètres devront ultérieurement mettre à niveau leurs logiciels et micrologiciels. Ces opérations pourraient être effectuées par des concessionnaires agréés ou tout garagiste ayant accès au véhicule. Mais comment savoir si le logiciel ou micrologiciel installé sur votre voiture est le bon ? Vous, et votre garagiste n’en avez probablement aucune idée. Or, si les logiciels/micrologiciels étaient signés, leur intégrité pourrait être validée. Ainsi, seules les mises à jour appropriées seraient installées, empêchant l’installation de logiciel ou micrologiciels malveillants sur votre véhicule.
Pour plus d’informations sur la sécurisation de l’Internet des Objets, rendez-vous dans notre centre de documentation.