> IoT > Sécurité de la voiture multi-connectée

Sécurité de la voiture multi-connectée

IoT - Par Arnaud Lorgeron - Publié le 24 février 2015
email

A travers ses capteurs de plus en plus nombreux, mais aussi les liaisons radios, les systèmes d’exploitation embarqués, et toutes les nouvelles interfaces, la surface d’attaques de la voiture individuelle a ces derniers temps considérablement augmenté.

Sécurité de la voiture multi-connectée

Historiquement concentrés sur les « ordinateurs de bureau » et après avoir pu éprouver, entre autres, les SCADA, les pirates informatiques ne sont pas prêts de voir leur terrain de jeux rétrécir.

La voiture, à sa manière elle-aussi objet de communication, est devenue multi-connectée. Si ses propres composants échanges des données en interne depuis déjà longtemps, elle commence à véritablement dialoguer avec l’extérieur (directement ou indirectement). Le début, ou la suite, des ennuis !

Cas pratique

Pour rentrer dans le vif du sujet de façon plus concrète, on se souvient du logiciel CarShark, développé par deux universitaires américains, qui lors d’une démonstration avait pu arrêter le moteur, verrouiller ou déverrouiller les portes ou même désactiver les freins. Au-delà du simple « effet waouh », il faut voir ici toutes les interactions et implications potentielles. Le déclenchement de l’airbag d’une voiture pourrait par exemple déverrouiller les portes pour faciliter l’évacuation des usagers : apparaît dès lors un pont entre le système de fermeture centralisée et le détecteur de collision…

Par ailleurs, un jeune groupe de chercheurs en sécurité appelé I Am The Cavalry a récemment publié une lettre ouverte dans laquelle il appelle l’industrie automobile à adopter d’urgence des principes forts en matière de sécurité. Cinq principes doivent selon lui guider la conception des voitures connectées :

–         Révision des principes de design pour y intégrer la sécurité ;

         Collaboration active avec les spécialistes ;

        Conservation des logs et enregistrements électroniques dans une boîte noire;

     Mise en place d’un système de mises à jour de sécurité sur le parc de véhicules en utilisation sans campagne de rappel ;

         Segmentation et isolation des différents sous-systèmes.

Communication externe

Aujourd’hui, toute voiture accueille des systèmes embarqués aux millions de lignes de code.

En outre, pour accompagner cette révolution numérique, l’automobile dispose d’une multitude d’interfaces de communication (port USB, connexion 4G…).

A court terme, la multiplication des systèmes embarqués devrait s’accélérer avec notamment la démocratisation de deux usages :

–    Le Car-to-Infrastructure, ou V2I (Vehicule To Infrastructure) qui permet par exemple les échanges de données entre l’infrastructure autoroutière et l’automobile dans le but de réguler le trafic ;

–     Le Car-to-Car, ou V2V (Vehicule To Vehicule) qui permet aux véhicules de partager entre eux leur position pour diminuer le risque de collision.

Malheureusement et comme bien souvent, l’aspect législatif pèse sur les « futures victimes » et met à la portée de tout technicien automobile d’autres types d’attaques. En effet, un « professionnel » peut aisément modifier le firmware de l’ECU (Engine Control Unit) car un principe de modification libre est imposé aux constructeurs dans le but de permettre l’existence d’un marché indépendant de la maintenance automobile.

Pire encore, la maintenance OTA (Over The Air) va peu à peu s’imposer. Associée aux trous de sécurité natifs de l’ECU, elle conduit à un dangereux cocktail. Le firmware de l’ECU gagne effectivement en complexité et pour éviter de coûteux retours en atelier, les constructeurs mettent en place des fonctionnalités de mise à jour à distance. Voilà introduites de nouvelles vulnérabilités et la facilitation des attaques à distance.

La communication Car-to-Car a très vite été associée à la communication Car-to-Infrastructure pour donner la communication Car-to-X. Ainsi, cette dernière technologie permet de communiquer directement avec d’autres voitures (de manière à autoriser un échange de diverses données telles que la densité de la circulation ou l’état des routes) et avec des infrastructures de gestion du trafic (panneaux indicateurs…). D’emblée, les problématiques de sécurité s’imposent, diverses et variées, avec des causes et des conséquences de tout type.

Généralement, les données ne sont pas communiquées à une centrale mais seulement à toutes les voitures environnantes concernées par le biais de réseaux mobiles WLAN. Chaque voiture assure tour à tour le rôle d’émetteur, de récepteur ou d’intermédiaire, selon la situation. Il est facile d’en déduire qu’une telle architecture favorise nativement la propagation d’informations corrompues ou de malwares… De plus, le système Car-to-X travaille en tâche de fond en exploitant les données des capteurs dont le véhicule est pourvu et répercute automatiquement ces informations aux autres voitures connectées au réseau.

La portée des menaces doit être prise au sérieux car un unique bus de communication dessert généralement les différents systèmes embarqués. De fait, cette architecture pourrait permettre la propagation des menaces jusqu’aux systèmes de contrôle de la sureté du véhicule (freins, ABS, airbag, …).

Communication interne

Comme dans les infrastructures de systèmes classiques, le développement des communications intra-véhicules fait naître deux enjeux qui sont la croissance du volume de données et leur sécurité.

Information, divertissement, aide à la conduite, connexion aux réseaux mobiles : le besoin en bande passante est évident. Les constructeurs commencent à constater la saturation des réseaux internes aux véhicules (comme les réseaux CAN). Certains équipementiers militent donc pour l’installation d’un backbone de communication Ethernet dans les véhicules. Ethernet apporte en effet une réponse prometteuse en associant performances et fiabilité.

Au-delà de ces usages spécifiques, la perspective, à terme, est bien d’utiliser Ethernet comme le backbone de réseau, la colonne vertébrale reliant différents domaines au sein du véhicule et transportant des données exploitées par des services aussi bien de divertissement que d’assistance à la conduite. On se référera utilement à la littérature dédiée à la sécurité Ethernet !

L’une des premières contraintes à laquelle Ethernet doit faire face concerne aussi la compatibilité électromagnétique : il faut veiller à ce que les réseaux ne perturbent pas le fonctionnement du véhicule et qu’à l’inverse, ces derniers ne soient pas perturbés par les ondes magnétiques créées par d’autres éléments. En termes de sécurité, il est ici également question d’AGREM et d’AGREMI (et non de signaux parasites compromettants qui pourraient être interceptés, même si ceux-ci ne sont toutefois pas à écarter totalement puisque pouvant revenir sur le devant de la scène avec l’évolution des technologies et des usages).

Pour contrer cette menace, des partenaires au sein de l’alliance industrielle Open Alliance ont développé des switchs spécialisés en traitement du signal pour filtrer les interférences.

Une autre problématique réside dans la consommation. La consommation énergétique d’abord, avec des calculateurs qui fonctionnent sur batterie. Dans la perspective du backbone Ethernet, cela implique d’épurer la norme. La consommation de mémoire ensuite, puisque ces mêmes calculateurs en demandent beaucoup. Il faut là optimiser les couches basses d’Ethernet.

Il s’avère nécessaire de refondre globalement les trames circulant sur le réseau. Il faudra imaginer un protocole de communications centré sur le service et capable de gérer des priorités, des contraintes d’acheminement particulières (voir Autosar). En perspectives, d’importants travaux de normalisation…

La vie privée

Bien que 71% des automobilistes estiment que le véhicule est l’objet connecté le plus attendu, selon une étude Havas Media, la récupération des données personnelles générées par la conduite demeure un sujet d’inquiétude.

Face aux enjeux industriels et commerciaux, la bataille est cette fois bien plus visible et ses résultats pourraient avoir un impact immédiat dans la vie quotidienne. Constructeurs automobiles, équipementiers, opérateurs et géants Internet s’affrontent. Tous les regards sont tournés vers Apple avec CarPlay et Google avec Android Auto tandis que Microsoft tente de se raccrocher au train avec son Windows In The Car.

Citons aussi le français Parrot. Avec Asteroid, le fabricant de drones et d’objets connectés a créé un système embarqué mais aussi un écosystème d’applications avec notamment des services qui portent sur le fonctionnement même de la voiture comme l’usure des pièces ou la consommation de carburant. Un carnet d’entretien auto qui repose sur ODB2, l’interface de diagnostic utilisée par les garagistes pour le check-up du véhicule. Des données précieuses intéresser tant un industriel qu’un assureur ou un pirate.

Conclusion

Les exemples de menaces liées aux nouveaux usages apportés par la connectivité avancée des automobiles sont encore nombreux. Certains prédisent par exemple l’arrivée de « vehicule ransomware ». Si on ajoute à cela les différents programmes pour rendre les voitures autonomes, les risques vont s’amplifier de manière exponentielle.

Face à ces nouvelles menaces, c’est l’ensemble du secteur automobile qui devra se mobiliser pour trouver des réponses à la hauteur des enjeux.

Constructeurs et experts de la sécurité sont appelés à travailler ensemble pour développer des solutions de protection des véhicules. Les concepteurs des SI embarqués étant peu sensibilisés aux enjeux et pratiques SSI, la meilleure approche sera sans doute d’allier les compétences des professionnels de la SSI et le savoir-faire industriels de l’automobile.

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

IoT - Par Arnaud Lorgeron - Publié le 24 février 2015