Cybersécurité : Le véhicule connecté dans le viseur des pirates

« Système multimédia, connexion Bluetooth, prise USB, prise OBD, bornes de recharge électrique, clés dotées d’une puce RFID, smartphone du conducteur, puce téléphonique embarquée, data center du constructeur… », Franck Marescal, colonel de la gendarmerie nationale, dresse la longue liste des surfaces d’attaque du véhicule. Certaines retiennent particulièrement l’attention des experts. C’est notamment le cas de la puce embarquée dans le boîtier télématique du véhicule. « Elle gère les échanges entre le véhicule et le monde débarqué du constructeur au travers d’un réseau cellulaire », explique Laurent Sudarskis, directeur de mission chez Thales. C’est via ce réseau que le constructeur fournit des services en ligne, comme les systèmes de navigation. C’est aussi au travers de cette architecture que sont effectuées les mises à jour logicielles à distance. Autre point critique : la prise OBD, qui permet aux garagistes de se connecter au réseau CAN d’un véhicule pour effectuer un diagnostic au travers d’une valise… qui pourrait être infectée, et véroler toutes les autres voitures.

Reste que les attaques réalisables à distance ne sont pas à la portée de tous. « L’attaque de la Jeep Cherokee a monopolisé deux ingénieurs pendant un an », confirme Jean-François Tyrode, chargé de mission senior chez Thales. « Parvenir à agir sur les calculateurs du véhicule est très compliqué, compte tenu de la complexité du système d’information de la voiture (plus de 100 millions de lignes de codes pour les modèles haut de gamme, ndlr). Et tous les calculateurs fonctionnent différemment. Par exemple, le calculateur qui permet de déclencher un airbag est différent sur deux modèles d’une même marque », atteste Franck Marescal. Cette sophistication, qui joue en faveur des constructeurs automobiles, tend toutefois à perdre son rôle de barrière. Paul Labrogère, directeur du programme transport autonome à l’IRT SystèmeX, s’inquiète ainsi de l’uniformisation des protocoles de communication et de la propagation des techniques d’attaque sur Internet. Pas étonnant, donc, que les acteurs de la cybersécurité se soient emparés du sujet.

Lors des Assises de la sécurité 2016, plusieurs éditeurs de solution ont présenté leur stratégie en la matière. CheckPoint a ainsi noué un partenariat avec la start-up israélienne Argus, à l’origine d’ECU FingerPrinting, une solution pour sécuriser les différents calculateurs répartis sur le protocole CAN du véhicule. Celle-ci s’appuie sur des algorithmes de machine learning et de classification. « Notre technologie étudie les aspects physiques de chaque ECU (calculateur) du véhicule, identifie la source de chaque message et valide que l’ECU est bien autorisé à envoyer ce type de message », détaille Monique Lance, directrice marketing de la start-up.

Les systèmes d’authentification et de détection

De son côté, la PME francilienne IDnomic s’est intéressée à la sécurisation des communications entre véhicules. Elle a mis au point des logiciels de PKI (technique de chiffrement asymétrique) pour authentifier chaque voiture. « Ils donnent une identité au véhicule et s’assurent que ce véhicule fait bien partie du réseau de confiance sur le Wi-Fi dédié aux communications entre véhicules. De cette manière, on sait que ce n’est pas quelqu’un de malveillant qui envoie des informations erronées sur le réseau », souligne Coralie Héritier, PDG de l’entreprise. La start-up Sentryo, spécialisée dans la protection des réseaux industriels, compte aussi adapter sa solution au véhicule connecté. « Notre sonde permet d’écouter le trafic sur le réseau de process entre les automates et les systèmes de contrôle et d'acquisition de données (Scada). Dans le véhicule connecté, l’ECU joue le même rôle que les automates programmables de l’industrie, précise Laurent Hausermann, le cofondateur de l’entreprise. Nous voulons donc adapter notre logiciel de sonde pour surveiller les communications machine-to-machine embarquées dans la voiture ». Le logiciel permettrait d’analyser « la musique » des messages envoyés et de détecter, grâce à l’apprentissage automatique, des événements anormaux sur le réseau. L’idée n’est pas de prévenir le conducteur de ces anomalies, mais le constructeur. « À terme, l’objectif est de mettre au point un Cyber Fleet Center. C’est ce à quoi réfléchissent tous les constructeurs automobiles », assure l’entrepreneur. En effet, les constructeurs, eux aussi, se sont saisis de la question. PSA a ainsi noué un partenariat avec Thales afin d’élaborer une méthodologie spécifique permettant d’aborder la sécurité d’un système embarqué automobile de façon globale. Cette approche repose sur deux méthodologies : la méthodologie Ebios (Expression des besoins et identification des objectifs de sécurité) et la démarche TVRA (Threat, Risk, Vulnerability Analysis).

« En mixant ces deux méthodologies, on a la possibilité d’avoir une vision risque métier et risque technique », fait valoir Jean-François Tyrode. Il est ainsi possible d’identifier les risques de sécurité et les contre-mesures à mettre en place avant toute spécification. Les équipes de Thales recommandent, par exemple, d’instaurer un mécanisme de vérification d’intégrité au niveau des micrologiciels (firmwares) qui contrôlent les ECU pour éviter qu’une attaque, via la prise OBD du véhicule, ne permette de remplacer un firmware par un autre. Autre recommandation : insérer le code secret qui protège la clé de démarrage dans un HSM (Hardware security module), pour éviter que des clés vierges puissent être reprogrammées.

Multiplier les barrières pour contrer un attaquant

Outre ce partenariat avec Thales, PSA s’est également engagé dans le projet Cybersécurité du transport intelligent (CTI), porté par l’IRT SystemX. Lancé officiellement en juin dernier, le programme réunit plusieurs industriels de l’automobile (PSA, Renault, Valeo), mais aussi du ferroviaire (Alstom, RATP) et de l’aéronautique (Airbus DS). Paul Labrogère, en charge du programme, milite pour une défense en profondeur des transports intelligents : « Un attaquant motivé peut passer une barrière. Mais lorsqu’il y en a deux, trois ou quatre, ça devient très difficile. Il faut donc mettre en place une architecture secure by design », assure-t-il. Pour ce faire, le programme CTI s’articule autour de trois axes. Le premier consiste à trouver le moyen de maintenir en condition de sécurité les véhicules. Les constructeurs doivent ainsi être capables de mettre à jour les logiciels à distance dès qu’une faille est rendue publique. Le deuxième axe consiste à concevoir les systèmes de manière à permettre la gestion opérationnelle. « Cela implique, par exemple,que les constructeurs doivent être en mesure de faire évoluer les protocoles de cryptage utilisés au niveau du système. On parle alors de cryptoagilité », précise Paul Labrogère. Le troisième et dernier axe concerne la certification des composants. Un travail réalisé en collaboration avec l’Anssi.

Sélectionné pour vous

Software defined vehicle : comment Sonatus veut faciliter les mises à jour

Lynred et Saint-Gobain Sekurit dévoilent un système capable de distinguer les piétons la nuit pour un freinage d'urgence autonome

« Renault va créer au sein d'Ampere un pôle dédié à l'IA pour déployer des cas d'usage dans tout le groupe », annonce Luc Julia, chief scientist