Afin de procéder à une analyse qualitative des risques et d’évaluer leur étendue, les chercheurs Trend Micro ont évalué 29 scénarios d’attaques selon le modèle de menace DREAD1. Des attaques qui pourraient être lancées à distance ou localement contre des véhicules ciblés, comme par exemple :

• Des attaques DDoS contre les systèmes de transport intelligents (STI), qui pourraient saturer les canaux de communication des voitures connectées,
• Des systèmes automobiles connectés vulnérables et donc exposés à un risque d’abus.

Au final, plus de 17% des vecteurs d’attaques étudiés présentaient un risque élevé. D’autre part, ne nécessitant qu’une compréhension limitée de la technologie des voitures connectées, ces derniers sont susceptibles d’être exploités par des attaquants peu qualifiés.

« Nos recherches démontrent qu’il existe de nombreuses opportunités pour les attaquants cherchant à détourner les technologies embarquées à bord des voitures connectées », déclare Renaud Bidou, Directeur Technique Europe du Sud chez Trend Micro. « Même si la mise en circulation de véhicules connectés et autonomes devrait se développer, les possibilités d’attaques restent heureusement limitées, d’autant que les criminels n’ont pas encore trouvé de moyens fiables de les monétiser. Avec les dernières réglementations de l’ONU exigeant que l’ensemble des voitures connectées intègrent des dispositifs de cybersécurité et respectent la nouvelle norme ISO à venir, le moment est venu pour les acteurs de l’industrie d’identifier et de traiter les risques de façon optimale2 », ajoute-t-il.

Plus de 125 millions de voitures dotées de connectivité intégrée devraient être commercialisées dans le monde d’ici 20223. Grâce aux nombreux progrès technologiques, nous nous orientons même peu à peu vers des véhicules entièrement autonomes. Or ces avancées devraient mener à un écosystème complexe intégrant des technologies variées (Cloud, IoT, 5G, …) et présentant une large surface d’attaque pouvant comprendre des millions de terminaux et d’utilisateurs finaux.

Le rapport alerte sur le fait que le développement de l’industrie entraînera une multiplication des opportunités de monétisation et de sabotage pour les cybercriminels, les hacktivistes, les terroristes, les États-nations, les initiés et les opérateurs sans scrupules. Sur les 29 vecteurs d’attaque étudiés, le risque global d’attaques réussies a été considéré comme moyen. Cependant, plus l’architecture Electrique/Electronique (E/E) des véhicules intègrera des applications SaaS et plus les cybercriminels développeront de nouvelles stratégies de monétisation, plus les attaques représenteront des menaces élevées.

Afin d’atténuer ces risques et de protéger l’ensemble des données, la sécurité des voitures connectées doit être conçue pour permettre une vision intégrée de tous les domaines critiques. Parmi les recommandations de Trend Micro pour optimiser la sécurité des véhicules connectés :

• Disposer de processus d’alertes, de confinement et d’atténuation efficaces en cas d’attaque,
• Protéger l’ensemble de la chaîne où circulent des données sur le réseau E/E de la voiture, l’infrastructure réseau, les serveurs backend et le VSOC (Vehicle Security Operations Center),
• Tirer des enseignements pour renforcer les défenses et éviter que les mêmes incidents ne se reproduisent,
• Mettre en place des technologies de sécurité adaptées intégrant notamment le pare-feu, le chiffrement, le contrôle des appareils, la sécurité des applications, le scan de vulnérabilités, la signature de code, l’IDS (Intrusion Detection System) pour CAN (Controller Area Networks) et l’antivirus pour l’unité principale.