La cybersécurité : le frein des véhicules autonomes

mai 2022 par Ruchir Budhwar, SVP and Industry Head – Europe, Infosys

GPS pour la navigation, systèmes biométriques pour le verrouillage centralisé, Bluetooth, télématique pour la communication entre véhicules, détection et télémétrie par ondes lumineuses (LiDAR) pour détecter les obstacles, intelligence artificielle (IA) pour réguler la vitesse, analyse prédictive pour déterminer le remplacement de la batterie et plusieurs systèmes logiciels hébergés dans le cloud... La technologie des véhicules autonomes s’avère être une véritable mine d’or en termes de données et d’informations.

La commodité a un prix

Un rapport de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et du Centre commun de recherche (CCR) classe les risques de cybersécurité dans les VA en vulnérabilités logicielles et matérielles non intentionnelles et intentionnelles. Les menaces intentionnelles visent les unités de contrôle électronique (UCE), qui comprennent des logiciels intégrés et des systèmes informatiques pour divers modules. Les fonctions des UCE vont du contrôle de la distance et de l’aide au stationnement, au contrôle du groupe motopropulseur et à l’alerte de franchissement de ligne. Le protocole de bus CAN (Controller Area Network) permet aux calculateurs et aux modules de commande d’un véhicule de partager des données. S’il permet le bon fonctionnement des sous-systèmes, les unités et le CAN restent vulnérables aux attaques.

Les hackers utilisent des dispositifs "porteurs" Bluetooth ou USB et des techniques d’injection de code pour infiltrer les calculateurs, le bus CAN et les réseaux des fabricants d’équipements d’origine (OEM). Par exemple, un code malveillant peut être envoyé au système antivol ou à l’indicateur de pression des pneus. Les commandes incorrectes envoyées au bus CAN brouillent les capteurs, ce qui entraîne un dysfonctionnement ou un blocage de la conduite autonome. Les acteurs malveillants peuvent altérer les systèmes de fichiers centraux pour désactiver le système GPS ou, dans le pire des cas, lancer une attaque par ‘ransomware’ en prenant le contrôle du VA et en l’usurpant sur le réseau de l’équipementier.

En outre, une conception sous-optimale des systèmes d’IA, un entraînement inadéquat des modèles ML et une intégration matérielle défectueuse peuvent entraîner des dysfonctionnements involontaires dans les véhicules autonomes. Et les conséquences d’une cyber-attaque ne sont pas négligeables. Compte tenu de la vulnérabilité des voitures intelligentes, les régulateurs encouragent les constructeurs et fournisseurs européens à à prendre à bras le corps le sujet de la cybersécurité.

“La sécurité avant tout”

La notion de “secure by design” doit être intégrée à la technologie de conduite autonome afin de préserver la vie et vie privée des utilisateurs. En intégrant des mesures de cybersécurité avancées dans la conception des produits, les fabricants peuvent atténuer les attaques intentionnelles, la manipulation artificielle des systèmes d’IA et les vulnérabilités involontaires de l’IA et du ML. Cette approche permet ainsi d’appréhender les défis de la chaîne de données et crée un écosystème permettant de réaliser le potentiel de la locomotion autonome. Cependant, les tests de sécurité adéquats lors de la phase de conception se font encore rares dans l’industrie automobile. Le manque d’expertise interne en matière de cybersécurité est peut-être l’une des raisons de cette vulnérabilité. Alors que le développement de logiciels ne fait pas partie des principales forces des constructeurs, une équipe de scientifiques des données, d’experts en technologies de communication, de développeurs IA, de modélisateurs ML et d’analystes est nécessaire pour déployer des véhicules connectés.

S’appuyer sur l’entreprise étendue

La collaboration avec des fournisseurs de services technologiques permet aux équipementiers de tirer parti de talents pluridisciplinaires pour construire des VA cyber-résistants. Ces entreprises adoptent des stratégies comprenant plusieurs volets pour une cybersécurité complète tout au long du cycle de vie du produit et améliorent la phase de conception en facilitant la rétro-ingéniérie. Les solutions numériques d’évaluation des menaces de sécurité et d’analyse des risques liés aux données identifient, analysent et résolvent les vulnérabilités. De même, la gestion avancée des accès protège les fichiers de commande grâce à des méthodes d’autorisation robustes pour l’accès et la modification, tandis que le cryptage et l’anonymisation des données garantissent l’intégrité et la confidentialité des données. En outre, la simulation de scénarios d’attaque valide les algorithmes utilisés pour l’évaluation et l’atténuation des risques.

L’analyse prédictive et les exercices de simulation pour l’évaluation des risques de sécurité permettent aux équipes d’intervention de détecter rapidement les comportements anormaux des véhicules et les communications erronées causées par des données ou des composants IA infectés, notamment les fichiers ‘over-the-air’ (OTA). Les contrôles de sécurité réguliers des services d’IA embarqués permettent ainsi d’identifier les faiblesses ou les bugs des programmes. Cela accélère le développement de correctifs de sécurité pour les risques potentiels de l’IA et les menaces émergentes, ainsi que leur mise en œuvre via une mise à jour OTA. Un référentiel des problèmes de sécurité corrigés sert de boucle de rétroaction pour la formation des modèles ML et la mise à niveau des systèmes d’IA.

Alors que les voitures sont de plus en plus intelligentes grâce à la connectivité intégrée et à l’intelligence artificielle, les réglementations en matière de cybersécurité au sein de l’Union européenne vont tendre à devenir plus strictes. Il est devenu impératif que les véhicules autonomes soient conçus non seulement pour l’efficacité énergétique et le confort des passagers, mais aussi pour la sécurité et la vie privée des passagers.