Au salon automobile de Frankfort, le plus grand salon auto européen cette année, qui ouvre ses portes aujourd’hui, on devrait beaucoup parler de sécurité informatique. Depuis que l’attaque, au printemps dernier, via Internet, à distance, d’une Jeep cherokee a été démontrée et publiée par la revue Wired, les fabricants automobiles surtout aux Usa et ceux qui participent aux systèmes de sécurité sont sur les charbons ardents.
Les ingénieurs Charlie Miller et Chris Valasek en prenant la main d’un SUV de Jeep (photo du modèle 2015 ci-dessous) sur une autoroute à plus de 15 kilomètres de leur garage ne pensaient pas qu’ils deviendraient si célèbres. Mais en parlant d’autos et de piratage, ils ont réuni deux sujets qui passionnent et qui ont fait durant quelques semaines les sujets de discussions autour des machines à café des grandes entreprises, surtout informatiques. L’affaire devrait être remise en scène à nouveau.
On ne parle plus désormais d’argent volé, mais de vrais risques pour des vies humaines. Ce danger potentiel ne fait plus sourire personne. Si des ingénieurs informaticiens l’ont réussi, des pirates aguerris ne devraient pas tarder à en faire une nouvelle forme de menaces. Du coup, tous les fournisseurs de systèmes de sécurité se rappellent au bon souvenir des constructeurs, car là où il y a de la frustration, il y a toujours un business potentiel. Intel qui parie déjà sur l’iOT dans le secteur auto, à décidé de prendre, tout de suite, sa part de la cyber-protection des véhicules connectés, un domaine où elle a beaucoup travaillé avec BMW. La firme tente de reprendre la main sur un secteur où Apple et Google ont largement fait leurs preuves mais plutôt autour des interfaces de l’infotainement, (la gestion des ressources audio video et des accessoires) mais aussi les interfaces avec les mobiles telles que les communications radios et la 4 G, sans compter les radars de détections et l’envoi de sms en cas de pannes ou d’accidents.
Intel a donc participé à la création de l’Automotive Security Review Board (ASRB) et propose de partager de bonnes pratiques en matière de cyber-sécurité. Pour le premier fabricant de composants mondial , « le Comité ASRB sera composé des meilleurs spécialistes mondiaux de l’industrie de la sécurité et en particulier dans le domaine des systèmes cyber-physiques. Les chercheurs de l’ASRB effectueront des tests et des audits de sécurité afin de codifier des meilleures pratiques et établir des recommandations quant à la conception de solutions de sécurité.»
Une manière de dire que jusque-là, les deux acteurs « logiciels » les plus présents n’ont pas fait grand chose dans ce domaine.
Chris Young, le directeur Général d’Intel Security a déjà déclaré « Nous pouvons et devons aller plus loin en termes de protection des cyber-attaques à destination des automobiles.» Avec l’aide de l’ASRB, Intel peut définir de bonnes pratiques de sécurité et soutenir que la cyber-sécurité est un ingrédient essentiel dans la conception des voitures connectées.»
L’avis du Gartner sur les autos connectées
Le bureau d’études Gartner a prédit que « d’ici 2020, le nombre de véhicules de tourisme connectés en circulation sera d’environ 150 millions, soit une pourcentage réduit de tous les véhicules mais si jamais les menaces s’effectuent en masses, l’inquiétude pourrait générer des formes de paniques. Entre 60 et 75 % des véhicules seront capables de consommer, de créer et de partager des données sur le Web. Le premier livre blanc d’Intel sur le sujet est intitulé ‘Automotive Security Best Practices ’ . Il analyse les risques associés à la prochaine génération de voitures connectées. Intel va inviter les experts de l’industrie à commenter ce livre blanc et publiera ensuite des révisions basées sur ces commentaires et ses propres recherches. Le livre blanc complet est déjà disponible en ligne à l’adresse suivante : www.mcafee.com/autosecuritywp.
Intel n’est pas le seul à courir derrière Apple et Google
A l’occasion du salon de Frankfort qui se déroule du 17 au 27 septembre, IBM a mis en scène l’arrivée de nouvelles puces sécurisées qui rendront le piratage des autos beaucoup plus compliqué. IBM et son partenaire de la sécurité des mobiles G&D (Giesecke & Devrient) présentent pour la première fois à Frankfort leurs solutions sécuritaires pour les véhicules connectés. Ils seront sur le stand IBM dans la partie électronique, le New Mobility World. Leurs partenaires y feront la démonstration d’unités électroniques de contrôle du moteur dotées d’une passerelle sécurisée, dont l’objectif est d’offrir une communication plus sûre au sein du véhicule, ainsi qu’entre le véhicule et les infrastructures en aval.
Pour Axel Deiniger, le directeur du département de la sécurité pour les entreprises et fabricants de G&D : « En tant que principal fournisseur de cartes SIM M2M et acteur de la sécurisation des identités électroniques, nous avons transposé les standards de sécurité élevés de l’écosystème des cartes à puce au monde de la mobilité. Nos produits et solutions satisfont aux exigences et aux normes des industries spécifiques, telles que la norme ISO/TS 16949, considérée comme le modèle des systèmes de management de la qualité dans l’industrie automobile ». Pour IBM qui fait de l’intégration logicielle, des « éléments sécurisés embarqués » (eSE) et installés à l’intérieur du véhicule, permettront de stocker des clés cryptographiques dans une zone protégée. Ces modules contribuent ainsi à augmenter le niveau de sécurité et à réduire significativement le nombre de piratages de véhicules via l’informatique, un nouveau fléau. La gestion des abonnements des modules SIM (cartes à puce SIM M2M) offre aux fabricants automobiles d’origine des solutions souples de connectivité. Un véhicule peut être individuellement configuré pour les paramètres de sécurité lorsqu’il est livré sur différents marchés et connecté à des opérateurs de service sans changement du module SIM, avec l’objectif de simplifier la logistique.
Ces deux points ne sont pas tout à fait nouveaux puisque deux constructeurs allemands au moins, BMW et Mercedes Benz, proposaient déjà au Cebit de 2013 et 2014 des services de surveillance par des solutions gérées par les opérateurs comme T-System.
puis