Depuis l’invention en 1769, par Joseph Cugnot, du premier chariot propulsé par une chaudière à vapeur, baptisé « fardier à vapeur », l’automobile n’a cessé d’évoluer, se rendant de plus en plus indispensable dans le quotidien. Plus sûres, plus stables, plus robustes, elles sont aujourd’hui plus connectées, à mesure que l’homme s’ouvre au numérique. Dès lors, des fonctions, telles que la navigation et le streaming multimédia, se sont progressivement inscrites à la liste des équipements de base proposés par les constructeurs, propulsant le marché mondial de l’automobile connectée à plus de 219 milliards de dollars d’ici 2025.

A partir du moment où un objet est connecté, il peut être piraté. C’est pourquoi ces derniers, indispensables au quotidien pour des milliers d’individus, doivent bénéficier d’une attention accrue en matière de sécurisation.

Tandis qu’auparavant, le plus grand risque (lorsqu’on possédait une voiture) était de se faire voler ses clés « matérielles », les progrès rapides de la technologie ont introduit un nouvel élément dans l’équation : le vol des clés « numériques » qui devrait être de plus en plus plébiscité par les (cyber)criminels. Prenons un constructeur automobile X qui dispose d’un serveur central recevant les flux de tous ses véhicules, tels que des données sur la localisation, stockées dans ses locaux ou dans le cloud ; le véhicule devra dans ce cas s’authentifier afin de se connecter à ce système central. Une question de confiance se posera alors : comment le constructeur peut-il être certain que la voiture qui communique avec son système est bien celle de son client ? Et inversement, comment être sûr que le système qui communique avec la voiture n’est pas en réalité un pirate ?

Un véritable défi pour les constructeurs et les automobilistes, et une opportunité pour les hackers qui tenteront de compromettre cette connectivité en adoptant deux approches. D’une part, ils s’appuieront sur les vulnérabilités pour se connecter au système, comme un Wi-Fi ouvert. Cette technique, connue depuis 2015, avait notamment permis la compromission à distance d’une Jeep Cherokee et son immobilisation sur la route. D’autre part, ils auront besoin d’informations d’identification ou d’une permission pour y entrer : les clés numériques de la voiture devenue, de fait, vulnérable aux connexions ou aux communications provenant d’une source ouverte. Si le niveau de sécurité du mot de passe est faible, alors les attaquants trouveront les identifiants pour accéder au véhicule. Mais si cette connexion est compromise, la menace s’aggravera inévitablement à mesure que la technologie évoluera et que les voitures autonomes seront en circulation.

De nombreux travaux sont en cours au sein de l’industrie, pour veiller à l’intégration de la cybersécurité dans le processus de développement de ces véhicules. Cependant, si quelqu’un réussissait à compromettre cette connexion, il pourrait commencer par détourner les communications et envoyer de fausses commandes à la voiture. Ou vice versa – il pourrait dire au système central que la voiture se trouve à un certain endroit alors qu’elle en est très éloignée, et provoquer un accident. En effet, les attaquants ne sauront pas automatiquement comment configurer ou administrer les véhicules sans conducteur. Ils devront adopter une approche traditionnelle d’infiltration insidieuse et d’observation avant de passer à l’acte, comme ce fût le cas de la Banque Centrale du Bangladesh ou du piratage du réseau électrique ukrainien. Dans le cas des voitures autonomes, les attaquants garderaient les clés pendant longtemps avant de prendre le volant. Bien sûr, d’autres scénarios doivent être envisagés ; certains criminels pourraient vouloir suivre les parcours de cibles spécifiques, recueillir silencieusement les données sur leurs déplacements, tout en utilisant des techniques d’ingénierie sociale avancées, afin de dresser un tableau complet des habitudes de la personne et de l’endroit où elle se trouve, ce qui pourrait donner lieu à une autre catégorie de crimes.

À mesure que la connectivité automobile poursuit son développement, il y a toujours plus d’identités numériques à gérer, à sécuriser et, au final, auxquelles faire confiance. Il incombe donc aux constructeurs de protéger les données de leurs clients et d’assurer leur sécurité personnelle. Tout commence par la protection de ces relations de confiance et des informations d’identification qui s’y rapportent.

_________
Rich Turner est Vice-Président des ventes pour l’Europe, le Moyen-Orient et l’Afrique (EMEA), chez CyberArk