La surface d’attaques augmente considérablement avec l’accroissement du nombre de capteurs (sensors), composants, calculateurs, réseaux, hardware… présents sur les véhicules intelligents, souligne Alain Filipowicz, Responsable partenariats innovation recherche pour Continental Digital Services France. Tous ces éléments laissent la porte ouverte aux attaquants, qui peuvent désormais facilement espionner les données du véhicule et de son propriétaire, rejouer ces données, voire même les modifier, de manière à faire accélérer ou freiner le véhicule, ou les supprimer. L’attaquant peut aussi manipuler les firmwares des calculateurs, les endommager… Les possibilités sont multiples.

Des chemins d’attaques nombreux

De plus, il ne faut pas sous-estimer les capacités des cybercriminels à organiser ce type d’attaques ciblées sur ces nouveaux systèmes, explique le Colonel Franck Marescal, Chef de l’observatoire central des systèmes de transport intelligents, Gendarmerie nationale. D’autant que les vulnérabilités et chemins d’attaques peuvent effectivement s’avérer très nombreux dans ce type de véhicules (RFID, Bluetooth, prise USB, Wi-Fi, prise téléphonique embarquée, réseau CAN embarqué…).

Il distingue trois principaux types de risques :
– Les risques liés à la sécurité : DDoS sur les infrastructures ADAS, GPS…, prise en main à distance des véhicules afin de les mettre hors de contrôle, voire dans des cas de terrorisme de tuer les occupants ;
– Ceux liés à la vie privée : vidéosurveillance, vol de données à caractère personnel, localisation… ;
– Enfin, les risques financiers : via le vol du véhicule, usurpation d’identité, etc.

Selon Alain Filipowicz, la sécurité passera par le niveau de confiance et la certification. Il est essentiel de développer des systèmes de communications sécurisées, de manière à ce que le piratage ne puisse pas s’opérer. Il sera également nécessaire de déployer des pare-feux et des systèmes de détection d’intrusions, comme pour tout Système d’Information « classique ».

Un écosystème dédié à la cybersécurité des véhicules

A l’heure actuelle, l’Internet des Objets reste peu, voire pas sécurisé du tout, constate François Stephan, Directeur Général Adjoint en charge du Développement et de l’International, IRT (Institut de Recherche Technologique) SystemX. Afin de renforcer cette sécurité, l’IRT SystemX a développé en partenariat avec l’ANSSI la plateforme CHESS (Cybersecurity Hardening Environ- ment for Systems of Systems). Cette plateforme permet d’accueillir par simulation hybride les systèmes du futur ultra-connectés, de mieux visualiser les menaces cyber et de tester la capacité de ces systèmes à y faire face.

Parmi les autres initiatives visant à renforcer cette sécurité, on retrouve notamment l’Observatoire central des transports intelligents de la Gendarmerie nationale (OCSTI). L’objectif est de faire travailler ensemble des acteurs provenant de différents secteurs (acteurs de l’automobile, du ferroviaire…) sur ces thématiques, et de les faire échanger quant à leurs bonnes pratiques. A titre d’exemple, les acteurs automobiles souhaitent aujourd’hui bénéficier des avancées de l’aéronautique en matière de sécurité.

Tout un écosystème dédié à la cybersécurité des véhicules est désormais en place. L’OCSTI collabore en ce sens avec de nombreux organismes (associations, industriels, administrations…) afin de faire évoluer la sécurité de ces véhicules intelligents. Parmi eux, on peut citer, entre autres : l’ANSSI, le MININT, l’ADEME, la CNIL, les équipementiers, tels que Valeo et Continental, les constructeurs Renault/PSA, les grands groupes industriels et les PME du domaine, ou encore les laboratoires de recherche, comme l’IRT SystemX… L’objectif, à travers ces échanges, est de développer conjointement les systèmes de sécurité adéquats à ce type de véhicule et les bonnes pratiques en la matière. L’ENISA publiera d’ailleurs un guide de bonnes pratiques en fin d’année, édictant 7 grands principes pour une meilleure sécurité.

L’IRT SystemX a également lancé le projet CTI « Cybersécurité du Transport Intelligent » il y a quelques mois. Les travaux de recherche industrielle initiés par ce projet concernent trois domaines d’application : l’automobile, le transport ferroviaire et l’aéronautique. L’objectif est de développer et de leur proposer les bonnes pratiques et les solutions IT (architectures sécurisées, conception sécurisée, ruptures protocolaires, isolations) les plus innovantes et pertinentes possible.

La route est encore logue...

Beaucoup de chemin reste donc à faire au niveau technique pour améliorer la sécurité de ces véhicules et des communications entre eux. Celle-ci devra, de plus, être pensée « by design » et appliquée en amont de toute commercialisation, au regard des risques et menaces qui ont déjà fait leurs preuves.

Enfin, face à ce phénomène, il faudra également faire évoluer les réglementations en place, ainsi que l’industrie et les métiers eux-mêmes. La plupart des industriels et équipementiers ont d’ailleurs aujourd’hui des équipes en charge de ces nouvelles problématiques, puisque l’évolution vers ces nouveaux véhicules « intelligents » apparaît désormais inévitable…