Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

L'Usine Auto

Comment l'industrie automobile gère la menace pirate

, , , ,

Publié le

Enquête De plus en plus connectés, les véhicules deviennent vulnérables aux cyberattaques. Un risque dont les acteurs de l’automobile s’emparent peu à peu.

L'auto sous la menace pirate © Chesky

"L'automobile est passée de systèmes mécaniques contrôlant les fonctions physiques à des systèmes numériques connectés entre eux"

Loïc Guézo, spécialiste cybersécurité pour Trend Micro

 

Les entreprises citées

L'attaque dure une poignée de secondes. Elle est d’une efficacité redoutable. En novembre 2017, la police britannique a diffusé une séquence captée par une caméra de vidéosurveillance quelques mois plus tôt. Deux individus cagoulés s’approchent d’une Mercedes neuve garée à l’entrée d’un pavillon. Armés de boîtiers électroniques, ils se postent l’un devant la maison, l’autre devant le véhicule. En détournant le signal électronique de la clé laissée dans le garage, les voleurs parviennent à déverrouiller la voiture. L’un d’eux s’installe à l’intérieur, met le contact… et quitte les lieux.

 

 

Grâce à la disponibilité croissance de matériel de piratage sur internet, moyennant une centaine d’euros d’investissement, ces vols sans effraction font les beaux jours des voleurs. Mais ces malveillances d’un nouveau genre pourraient n’être que les premières d’une longue liste d’intrusions visant l’automobile, mettent en garde les experts en cybersécurité. "Le secteur est passé de systèmes mécaniques contrôlant les fonctions physiques, comme le freinage et la direction, à une foule de systèmes numériques connectés entre eux, explique Loïc ­Guézo, spécialiste cybersécurité pour l’éditeur de logiciels Trend Micro. En parallèle, on se dirige, depuis les années 1990, de systèmes propriétaires fermés, donc peu exposés à des intrusions, vers des véhicules ouverts sur l’extérieur permettant à l’usager d’écouter de la musique ou connaître les conditions de conduite."

En clair, les voitures sont désormais contrôlées par une multitude de calculateurs et connectées à internet. Elles se transforment en véritables "ordinateurs sophistiqués sur roues", comme se plaît à les décrire Elon Musk, le fondateur de Tesla. La preuve : selon le cabinet IHS Markit, les dernières générations de voitures comptent 20 à 30 millions de lignes de code et jusqu’à 60 unités de commande électronique (ECU), ces systèmes embarqués qui commandent des dispositifs physiques comme le freinage et le moteur. Dans le premium, ces chiffres grimpent à 50 millions de lignes de code et une centaine d’ECU. Des proportions vouées à évoluer avec l’avènement du véhicule autonome et la multiplication des services afférents, destinés à améliorer la vie à bord et la gestion automatisée de la conduite.

 

 

Des scénarios catastrophes encore peu probables

Revers de la médaille, les voitures connectées s’exposent aux mêmes nuisances que l’informatique. "Ce n’est qu’une question de temps avant de voir apparaître des attaques de type “ransomware”. Des messages sur le tableau de bord pourraient obliger le conducteur à payer une rançon pour reprendre le contrôle de son véhicule", insiste Christophe Auberger, le directeur technique de l’éditeur d’antivirus Fortinet. La protection des données et de la vie personnelle des conducteurs pourrait aussi être mise à mal. "Des vols à grande échelle de données personnelles collectées par les véhicules risquent de se développer", témoigne Gérôme Billois, expert cybersécurité chez Wavestone. Un scénario noir se profile, celui d’une prise de contrôle à distance d’une flotte de véhicules visant surtout des modèles dotés de fonctions autonomes avancées. L’intrusion pourrait être rendue possible par une faille identifiée sur un même modèle ou sur le parc entier d’un constructeur. Avec des conséquences pouvant aller d’un embouteillage massif… à des accidents en chaîne, selon les motivations des pirates et leur capacité à accéder aux organes critiques.

S’il fait le succès des films catastrophes, ce mode d’attaque reste encore peu probable, assurent les observateurs. Les précédents connus du public en attestent. Les intrusions ayant atteint les fonctions vitales ont généralement été circonscrites à un seul véhicule et supposent un long travail d’exploitation des failles. Les piratages visant le cœur des véhicules ont jusqu’à présent été accomplis par des "white hats", des hackers "éthiques" cherchant plutôt à sensibiliser et à se faire valoir qu’à nuire, à l’inverse des "black hats" malveillants. En 2015, deux chercheurs américains sont parvenus, après plusieurs mois de travail, à contrôler le freinage et la direction d’une Jeep Cherokee via le système d’info-divertissement. L’incident a contraint Fiat-Chrysler à envoyer à 1,4 million de clients des clés USB contenant une mise à jour système. À la mi-2017, la start-up israélienne Argus Cyber Security a pour sa part indiqué à Bosch avoir détourné l’usage d’un composant connecté par Bluetooth pour arrêter le moteur d’un véhicule. Là encore, pas d’intrusion à grande échelle possible, compte tenu de la nécessité de se tenir à proximité des véhicules pour en prendre le contrôle.

Reste que "ces attaques touchent à la mission fondamentale d’un constructeur, qui consiste à transporter des personnes d’un point A à un point B en toute sécurité", met en avant Michaël Bittan, chargé des activités cybersécurité chez Deloitte. Bousculés par ces hackers éthiques, la plupart des constructeurs et équipementiers s’emparent des questions cyber depuis quelques années. "La mobilisation des différents acteurs reste très hétérogène", modère un spécialiste. Mais tous partagent une caractéristique commune : le mouvement se fait dans le plus grand secret. Parmi les rares à s’exprimer sur les dispositions qu’ils ont prises, PSA dit avoir commencé à constituer une force de frappe en interne dès 2013. "Nous avons notamment embauché des experts en cryptologie, détaille Éric Dequi, maître expert en architecture électronique pour le groupe. L’équipe dont je suis chargé compte une douzaine de spécialistes. Deux fois par an, nous faisons un état des lieux des avancées et des éventuels incidents à la gouvernance cybersécurité du groupe."

Chez Toyota, la mobilisation semble avoir été plus précoce. Depuis 2002, le groupe a établi une série de directives évolutives définissant des règles en matière de cybersécurité. La liste compte actuellement plus de 150 points "visant à vérifier que les entreprises affiliées à Toyota respectent les standards définis". Le constructeur japonais a également rejoint l’Auto-Isac, une structure créée par une dizaine d’acteurs automobiles pour échanger sur les meilleures pratiques à déployer contre les pirates. Et compte sur l’expertise de nouveaux entrants dans le secteur. Une démarche loin d’être isolée, au regard de la complexité et de la nouveauté du problème pour la filière. "Nous nous faisons aider, reconnaît Éric Dequi. Thales et Airbus Defence and Space réalisent pour nous des tests d’intrusion afin de corriger les éléments non conformes aux spécifications en interne et nous demandons à nos fournisseurs de corriger, selon les risques, les systèmes qu’ils nous livrent." Grâce à ces tests, les constructeurs vérifient la résistance de leurs systèmes aux risques les plus communs et cherchent aussi à les exposer à des scénarios plus délicats.

 

Association d’expertises grâce à des partenariats

Pour Michaël Bittan, cette mise à l’épreuve des systèmes devient une habitude. "Depuis cinq ans environ, les constructeurs testent un grand nombre d’éléments de manière systématique et à plusieurs stades de conception des voitures. Pour les modèles à venir, ils n’hésitent pas à faire appel à un ou deux prestataires", souligne le consultant. Mais ces relations ne s’arrêtent pas à la simple mise en œuvre de tests d’intrusion. Chez Gemalto, en passe d’être racheté par Thales, l’activité relative à l’automobile connaît une forte croissance depuis trois ans, à en croire la directrice de la branche auto et services de mobilité au sein du groupe. "Nous accompagnons, par exemple, Valeo et Mercedes, dans le déploiement de solutions de gestion de clés digitales. Le but est de sécuriser le téléchargement de ces clés et de s’assurer qu’elles sont stockées de manière sûre dans le cloud comme sur les téléphones, les montres et les objets connectés", précise Christine Caviglioli.

Côté équipementiers, l’heure est à l’adaptation des systèmes en fonction des spécifications données par les constructeurs. Mais certains voient plus loin. Anticipant l’émergence d’un lucratif marché, le japonais Panasonic a décidé de faire équipe avec Trend Micro pour déployer une offre de détection et de prévention des intrusions visant les ECU et les plates-formes d’info-divertissement. L’année passée, Continental a acquis une start-up devenue incontournable dans l’écosystème naissant autour de la cybersécurité automobile, Argus Cyber Security. "Le sujet deviendra l’un des piliers principaux de notre activité en tant que fournisseur automobile", justifie Werner Koestler, le responsable du développement des services de mobilités. Grâce à cette nouvelle expertise, l’équipementier allemand espère "fournir des solutions logicielles et des services pour sécuriser le véhicule de bout en bout et sur l’ensemble de sa durée de vie".

 

Sécuriser sans alourdir la facture

Objectif ultime pour tous : produire des véhicules sécurisés dès la conception et résilients. Pour certains, le mouvement est enclenché [lire l’entretien page 32]. D’autres se montrent plus mesurés. "Il reste encore des marges de progression pour parvenir à des véhicules ”secure by design”, juge Loïc Guézo, de Trend Micro, par ailleurs administrateur du Club de la sécurité de l’information français (Clusif). Les acteurs font face à une importante pression de la part du marché pour développer de nouveaux modèles. La tentation est forte de reporter à l’identique certaines architectures, en améliorant les briques élémentaires déjà disponibles." Les acteurs de la filière se trouvent pris en étau entre le besoin de sécuriser leurs véhicules et le développement de plus en plus rapide de nouveaux modèles pour rester dans la compétition mondiale. Un défi de taille. Mais pas le seul : il faut aussi intégrer les solutions cyber… à un coût réduit. "Les acteurs doivent trouver un compromis pour sécuriser leurs véhicules sans alourdir le prix pour les consommateurs finaux", confirme Laurent Petizon, responsable de l’automobile chez AlixPartners.

De quoi créer une équation complexe à résoudre pour les constructeurs et les équipementiers. Pour autant, des solutions apparaissent sur le marché. Issu du numérique, Elon Musk a ouvert la voie en adaptant sur les voitures Tesla la mise à jour "over the air". Celle-ci permet d’actualiser les systèmes sans obliger les clients à faire un crochet chez leur garagiste et d’améliorer in fine la réactivité en cas de cyberattaque. "C’est une mesure de base pour sécuriser le véhicule", relève Gérôme Billois, qui anticipe une généralisation de ce dispositif dans les années à venir. Chez PSA, on travaille à la définition d’une nouvelle architecture destinée à équiper les modèles d’ici à 2020. Elle représentera, selon Éric Dequi, un "réel saut en matière de cybersécurité, avec davantage de remparts, donc plus difficiles à pénétrer, pour séparer au mieux les parties sensibles et le système d’info-divertissement des véhicules". Face aux pirates, la riposte s’organise peu à peu.

Le tabou de la cybersécurité

Sujet « trop sensible », question « délicate », thème pour lequel « aucune communication n’a été définie »… Difficile de faire réagir les acteurs de l’automobile sur les questions de cybersécurité. Tellement difficile que sur la dizaine d’entreprises sollicitées pour réaliser ce dossier, à peine la moitié ont répondu à notre demande d’entretien. Il faut dire que le sujet touche à la mission première de l’auto, qui consiste à garantir aux passagers leurs déplacements en toute sécurité. Même si elles ne menacent pas toujours l’intégrité des clients, les cyberattaques entament la capitale image de marque des acteurs. Une véritable bête noire. On comprend le manque d’empressement des industriels à s’exprimer sur la question. D’autant qu’entrent en ligne de mire des questions d’avantage concurrentiel. Il n’empêche que la filière risque de devoir communiquer davantage sur les dispositifs de protection, par exemple pour convaincre les clients d’adopter un jour des voitures autonomes. Car pour l’heure, la méfiance prime.
Une étude réalisée par OpinionWay en 2017 montre que moins de la moitié des Français accepterait de monter dans un tel véhicule. La majorité (59 %) s’inquiète du fait que la voiture ne soit pas capable de prendre la bonne décision. Mais une proportion non négligeable (40 %) met aussi en avant les risques de piratage. Ce qui est problématique, vu la vitesse à laquelle l’industrie anticipe l’arrivée de ces premiers véhicules et la façon dont elle investit sur cette nouvelle offre, à coups de partenariats et de rachats. Une solution pourrait venir de la mise en place de systèmes d’évaluation de la résistance des véhicules, une sorte d’équivalent cyber à l’EuroNCAP. Des groupes de travail en France et en Europe planchent sur la création de leviers réglementaires et normatifs. Pour une mise en place… à moyen terme. En attendant, la filière aurait tout intérêt à s’emparer du sujet pour prouver que son silence n’est pas synonyme d’inertie.

 

Réagir à cet article

Testez L'Usine Nouvelle en mode abonné. Gratuit et sans engagement pendant 15 jours.

Les entreprises qui font l'actu

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle