L’essor des véhicules connectés a transformé l’industrie automobile, mais il a également créé une surface d’attaque considérable pour les cybercriminels. Face à ces menaces croissantes, il devient essentiel pour les constructeurs de renforcer la sécurité des logiciels embarqués et des systèmes de communication.
Ces dix dernières années, les voitures se sont numérisées à une vitesse fulgurante et sont maintenant un complexe mélange de logiciels et de composants informatiques. Sous le capot du véhicule, se trouve un panel de technologies de pointe allant des capteurs lidar, aux radars, aux systèmes d’aide à la conduite ainsi qu’aux réseaux embarqués. Une voiture compte aujourd’hui en moyenne 150 unités de contrôle électrique intégrées (ECU) et 100 millions de lignes de code.
Ces innovations sont directement intégrées à l’habitacle pour améliorer les performances des véhicules et proposer une tenue de route plus sûre. Toutefois, si la sécurité physique des personnes à bord s’en trouve améliorée, la cybersécurité, elle, fait défaut. Elle est d’ailleurs l’une des principales préoccupations des constructeurs automobiles. Les cyberattaques ont notamment un impact considérable sur leurs résultats financiers, entraînant des coûts d’indisponibilité des systèmes de 1,99 milliard de dollars pour le seul premier semestre 2023.
Alors que la course au soft power technologique s’accélère et que les véhicules deviennent de plus en plus autonomes, les cybercriminels disposent d’une plus grande surface d’attaque. Il est donc primordial que les constructeurs et l’ensemble du secteur automobile prennent des mesures pour limiter les risques de cyberattaque qui peuvent non seulement entraîner des pertes financières, mais aussi provoquer la méfiance des clients et la mise en cause de la réputation de la marque.
Des logiciels partout
Les menaces augmentent à mesure que les voitures gagnent en autonomie et que des logiciels supplémentaires sont intégrés aux véhicules. En 2023, des chercheurs ont identifié de nombreuses failles de sécurité qui ont affecté 16 constructeurs automobiles. Les failles en question affectaient 20 endpoints API différents, et si des pirates les avaient exploitées, ils auraient pu prendre le contrôle des véhicules, suivre leur localisation et accéder à des systèmes contenant des informations personnelles identifiables (PII) d’employés et de clients.
Voici une liste d’autres cas où les cybercriminels pourraient exploiter des vulnérabilités :
1 / Attaques locales
Ces attaques ciblent les vulnérabilités de l’écosystème logiciel d’un véhicule, y compris les systèmes d’exploitation et les calculateurs. L’objectif est d’exploiter les failles logicielles pour prendre le contrôle du véhicule, ce qui pourrait avoir des conséquences importantes en termes de sécurité. Il est essentiel que les constructeurs automobiles déploient des systèmes de sécurité embarqués robustes et mettent à jour les logiciels pour combler les lacunes en matière de sécurité.
2 / Attaques en réseau
Les attaques en réseau, comme leur nom l’indique, exploitent les réseaux sans fil, les réseaux backend et les communications de véhicule à véhicule (V2X). Si elle réussit, cette tactique peut avoir un impact sur les systèmes des voitures et perturber le trafic. La sécurisation des messages transmis par les canaux de communication V2X est un élément essentiel de la lutte contre cette vulnérabilité.
3 / Mises à jour en direct (OTA)
Les mises à jour de code sans fil, souvent effectuées via des connexions Wi-Fi et cellulaires, introduisent des vulnérabilités que les pirates peuvent exploiter pour insérer des logiciels malveillants dans le logiciel du véhicule. Il est essentiel de crypter les données et de sécuriser les mécanismes de mise à jour pour éviter cela.
4 / Radiofréquences périphériques
Ces attaques ciblent des technologies telles que Bluetooth NFC, RFID et les clés à distance. Par exemple, une attaque par relais réussie à partir d’un trousseau de clés peut aboutir à un accès non autorisé de la clé, dans le but de démarrer le véhicule à distance pour le voler. Pour réduire ce risque, les constructeurs doivent tester les systèmes critiques, afin de s’assurer qu’ils fonctionnent de manière fiable sans interférence de sources de radiofréquences internes ou externes. Les propriétaires de voitures peuvent utiliser des dispositifs tels qu’un portefeuille bloquant les signaux.
5 / Systèmes d’info-divertissement
Les systèmes d’infodivertissement des voitures se connectent à internet et à d’autres appareils par l’intermédiaire des technologies suivantes : Bluetooth, cellulaire, USB et Wi-Fi et constituent des points d’entrée potentiels pour des acteurs malveillants. Ces systèmes contiennent des informations personnelles, telles que les détails des cartes de crédit et les données de localisation, ce qui en fait des cibles attrayantes pour les cybercriminels. Les constructeurs peuvent atténuer ce risque en mettant en place des contrôles d’accès stricts, en déployant des protocoles de communication sécurisés et en utilisant des logiciels et des microprogrammes pour corriger les vulnérabilités.
Priorité à la sécurité
Chaque point de connectivité est désormais une voie d’accès que les pirates informatiques peuvent exploiter à leur guise. Cependant, malgré une prise de conscience généralisée des risques encourus, la sécurité ne va pas tout de suite être considérée comme une priorité, lors du cycle de conception des véhicules. Les constructeurs automobiles doivent repenser leur approche et s’assurer que les vulnérabilités sont identifiées et traitées le plus tôt possible. Chaque élément doit être testé, des capteurs aux logiciels en passant par la télématique et l’infrastructure de recharge, afin d’éviter des retards coûteux et d’atténuer le risque d’une cyberattaque.
Une fois que le véhicule est sur la route, les tests de sécurité ne peuvent pas s’arrêter. Chaque mise à jour de logiciel ou de système nécessite la même évaluation rigoureuse pour s’assurer qu’elle n’introduit pas de vulnérabilités. Chaque application doit être testée avant d’être intégrée dans le système logiciel d’un véhicule. Tous les acteurs de l’industrie doivent donc collaborer pour donner la priorité à la sécurité.
Le secteur automobile sous le feu des critiques
Les constructeurs automobiles ne sont pas seuls à devoir se préoccuper de la cybersécurité. L’attaque par ransomware du logiciel CDK Global a perturbé la façon dont plus de 15 000 concessionnaires vendent et réparent des voitures. L’ensemble de l’écosystème automobile est menacé par les cyberattaques. C’est pourquoi des mesures de sécurité rigoureuses doivent être appliquées, afin de protéger les données et d’empêcher tout accès non autorisé. Il est impératif que la transformation technologique de l’industrie automobile n’offre pas une rampe d’accès aux pirates informatiques, pour qu’ils s’y faufilent et l’exploitent.
_______________________________________
Par Marie Hattar, SVP Keysight Technologies
puis