Sécuriser la voiture connectée

Le saviez-vous ? La voiture connectée est dotée d’une connectivité qui lui permet de disposer de nouveaux services liés à l’échange d’informations et de données dont ne disposait pas la voiture traditionnelle. Cependant, dans ce type de véhicules, les canaux de communication sont les portes d’entrées à de multiples attaques. Guillaume Duc et Houda Labiod, chercheurs à Télécom Paris au sein de la chaire Connected Cars and Cyber Security (C3S), concentrent leurs travaux sur la sécurisation de ces véhicules.

Le nombre d’incidents de sécurité des voitures connectées a explosé ces dernières années. En 2015, une cyber-attaque sur une voiture Jeep Cherokee avait fait couler beaucoup d’encre. En se connectant au wifi du véhicule, deux chercheurs avaient pris le contrôle à distance de nombreux équipements dont les freins, sa radio et sa plateforme. Aussi est-il nécessaire de minimiser les failles de sécurité dans ces véhicules afin de contrer les potentielles attaques.

De nombreuses vulnérabilités à combler

Les voitures connectées disposent de connexions sans fils propices aux attaques à distance qui sont de plus en plus en plus difficiles à sécuriser. Dans une interview consacrée au magazine Le Point, Guillaume Duc énonçait : « Le problème vient du mot connecté (…) les voitures sont des objets grand public. Elles ont des calculateurs embarqués avec des logiciels de plus en plus complexes. » .

Cette complexité matérielle et logicielle croissante augmente grandement le risque de présence d’une faille de sécurité. De plus, les nombreux canaux de communication dont disposent les véhicules connectés, qu’ils soient filaires (USB, OBD, etc.) ou sans-fils : WiFi (suivant l’amendement IEEE 802.11p/ITS-G5 pour ajouter l’accès sans fil dans les environnements de véhicules), Bluetooth, 3G/4G/5G, offrent autant de portes d’entrées pour un attaquant lui permettant d’accéder aux calculateurs et y exploiter ces failles. Enfin, ces calculateurs ont de plus en plus de contrôle sur les différentes fonctions du véhicule (direction, freinage, etc.), ce qui augmente les conséquences potentielles d’une attaque.

Prémunir ces véhicules contre les attaques potentielles

En premier lieu, les voitures connectées sont exposées aux mêmes attaques que les voitures traditionnelles. Elles peuvent tomber aux mains de personnes malveillantes et peuvent par exemple faire l’objet de vols ou d’attaques physiques. Mais de plus, elles peuvent être la cible de cyberattaques pouvant aboutir à des vols de données personnelles (par exemple les informations de géolocalisation) ou à la mise en danger des utilisateurs du véhicule et de l’entourage du véhicule (par exemple par la prise de contrôle du véhicule à distance).

Pour prévenir ces attaques, divers procédés ont été mis en place. Notamment, au cours de la conception de ces véhicules, les risques de chaque canal de communication susceptible d’être attaqué sont analysés afin d’identifier les vulnérabilités et mettre en place des contre-mesures. De plus, le standard ISO 26262, auquel doivent se conformer tous les constructeurs de voitures connectées, impose des processus afin de prendre en compte la sûreté dans les différentes étapes du cycle de vie d’un véhicule, rendant la voiture connectée plus sûre. En outre, les équipes de conception procèdent à des analyses de risque permettant de déceler des chemins d’attaque potentiels et d’analyser par quelles voies d’entrées les attaquants peuvent partir et arriver. Par ce biais, les potentiels attaquants pourraient être découragés car les coûts induits par l’attaque seraient supérieurs aux bénéfices.

Si les voitures connectées, aujourd’hui en circulation, impliquent des défis à relever en termes de cybersécurité, les voitures autonomes dont les systèmes embarqués permettraient de remplacer le conducteur, font actuellement l’objet de nombreuses recherches et pourraient, dans les années à venir, être vendues sur le marché. D’où l’intérêt de renforcer la sécurité de ces véhicules.