Accueil Embarqué « Les automobiles sont des ordinateurs sur 4 roues » : les...

« Les automobiles sont des ordinateurs sur 4 roues » : les menaces de l’Internet industriel

Mi-juillet deux chercheurs en cybersécurité américains ont révélé des failles majeures dans le système animant une voiture moderne. Face à la dangerosité de cette attaque, le groupe Chrysler a dû lancer une campagne de rappel pour mettre à jour 1,4 millions de voitures. L’automobile, comme tous les secteurs industriels, poursuit sa transformation numérique en utilisant de façon massive l’informatique et l’électronique embarquée.

Elle cherche à rendre notre vie à bord toujours plus confortable. Les révélations faites la semaine passée sont-elles inquiétantes ? Que doit-on craindre à l’aube de l’Internet Industriel ? Analyses.

Nos voitures ces “objets” connectés à l’Internet Industriel

Tout d’abord, c’est désormais une généralité : une voiture moderne est un super-ordinateur. Elon Musk, le fondateur de Tesla Motors, déclarait il y a peu qu’il ne fabriquait pas des voitures, mais des ordinateurs mobiles sur 4 roues ! Une voiture récente intègre en son sein une petite dizaine d’ordinateurs. L’ensemble des fonctions de la voiture est concerné : navigation GPS, système multimédia bien sûr mais aussi freinage ABS, stabilisation, embrayage, injection du carburant, motorisation. Bref, les fonctions vitales d’une voiture sont désormais gérées par un logiciel embarqué. Si les voitures possèdent toujours un volant et des pédales, c’est parce que nous – les humains – nous sommes habitués à utiliser cette interface homme-machine.

 Un véritable réseau local connecté à un réseau étendu

Pour autant, nos voitures intègrent déjà un véritable réseau local connecté à un réseau étendu. Comme dans de nombreux systèmes industriels, elles réutilisent les technologies de l’IT : les fabricants de composant Ethernet – le standard qui anime nos réseaux locaux d’entreprises – estiment qu’une voiture comportera bientôt entre 50 et 60 éléments communiquants. C’est l’équivalent du réseau de la plupart des PME françaises, embarqué dans chaque voiture.

Une menace avérée : la prise de contrôle

La démonstration faite à un journaliste par deux chercheurs en cybersécurité mi-juillet, est impressionnante et inquiétante : alors que le journaliste conduisait sa voiture sur l’autoroute, les chercheurs prirent successivement le contrôle de la climatisation et de l’autoradio – jusque là tout va bien, si vous avez l’humour potache – mais ensuite, ils verrouillèrent les portes et coupèrent le moteur ! Il suffit de voir le visage paniqué du journaliste, pour imaginer la frayeur qu’il a ressenti. Que faire si sa voiture est “possédée” de l’extérieur, n’est pas encore inscrit au permis de conduire.

Faille informatique dans le système Uconnect

L’attaque s’appuie sur une faille informatique dans le système Uconnect. Ce système de communication, installé en usine par les constructeurs et permettant un accès à distance au véhicule, permet aux conducteurs de bénéficier d’un GPS ou d’un système multimédia performant et toujours à jour. Malheureusement, il permet à des hackers de s’introduire dans le véhicule. Après avoir pris le contrôle du système multimédia, il leur serait possible, pour ce modèle, de rebondir vers d’autres sous-systèmes comme celui de freinage ou de direction assistée. Un correctif est maintenant disponible mais demande un retour du véhicule chez un concessionnaire. D’autres constructeurs ont déjà pris les devants en isolant les différentes fonctions embarquées dans leurs voitures. Ils limitent ainsi l’impact d’une défaillance ou d’une cyber-attaque. Malheureusement, tous n’ont pas eu cette précaution.

Pas d’Internet Industriel sans CyberSécurité

L’industrie automobile, comme toutes les grandes industries du 20ème siècle, entame sa mue vers l’Internet Industriel. Elle doit intégrer, dans ses savoir-faire, un métier nouveau, celui de la cybersécurité. Protéger la voiture connectée, ou l’avion numérique, contre les cyberattaques passe par deux grandes activités.

-D’abord un travail important de Security by Design afin d’intégrer dans la conception et le développement de ces systèmes industriels la cybersécurité au plus profond. Assurer l’authentification forte entre les composants, augmenter la segmentation des réseaux, filtrer les communications entre les composants sont autant d’éléments qui doivent être pris en compte lors de la création des voitures. Ces techniques sont bien connues des informaticiens dans les réseaux IT.

-Ensuite, il faut bien comprendre que la cybersécurité est un problème jamais résolu à 100%. Il y aura toujours de nouvelles failles, de nouvelles techniques de compromission. Seule une posture de surveillance continue, de gestion des vulnérabilités et de détection des anomalies permet, sur le long terme, de protéger l’Internet Industriel.

L’enjeu est énorme car c’est notre sécurité en tant que passager, usager et citoyen qui est concerné. C’est aussi la réputation des constructeurs qui est mise en cause. C’est à ce prix là que nous profiterons tous des multiples innovations numériques dans l’automobile, comme la voiture autonome, et d’une expérience de transport toujours plus agréable.

 

Laurent HAUSERMANN, Co-fondateur de Sentryo

 

Sentryo

Sentryo est une « start-up » technologique créée en juin 2014, dédiée à la cybersécurité de l’Internet Industriel. Son produit, Sentryo ICS Cybervision, adresse tous les secteurs industriels: l’énergie (distribution, production), les transports (air, mer, rail, routes, voitures connectés, etc.), l’environnement, la défense et les grandes infrastructures publiques (stades, aéroports, villes, etc.). Il offre des fonctions de prévention et de détection face aux cyberattaques.