Alors qu’un journaliste du magazine Wired et deux complices hackers ont démontré qu’il était possible de prendre le contrôle à distance d’une voiture, nous avons voulu en savoir plus. Nous avons posé 5 questions sur le sujet à Hervé Schauer, directeur général de HSC by Deloitte, spécialiste conseil et audit en sécurité des systèmes d’information.
Solutions numériques
Que pensez-vous de l’exploit des chercheurs et journalistes américains qui ont réussi à prendre le contrôle de l’ordinateur de bord d’un Cherokee aux Etats-Unis ?
Hervé Schauer
C’est la redite d’une étude universitaire faite avec des restrictions d’usage et de détail http://www.autosec.org/pubs/cars-oakland2010.pdf. Sauf que personne n’a parlé de cette étude universitaire. Ici, c’est sensationnalisé à la sauce Wired (« Attention j’ai failli mourir ! »), avec une mise en scène qui va au-delà de la réalité du danger. C’est du journalisme spectacle. Au point que certains trouvent l’expérience irresponsable (http://taosecurity.blogspot.fr/2015/07/going-too-far-to-prove-point.html). Résultat, tout le monde en parle de façon alarmiste : http://www.theregister.co.uk/2015/07/21/jeep_patch/
SN Au-delà de ce cas, pensez-vous que les systèmes et OS embarqués dans les voitures d’aujourd’hui et de demain posent des problèmes en termes de sécurité ?
HS L’ordinateur de bord, relié a internet pour les véhicules les plus haut de gamme, sont également reliés a l’ensemble des éléments de contrôle de la voiture (moteur, freins, direction, etc.)…. C’est évident que oui, il y a pléthores de problèmes de sécurité.
SN Quelles mesures prendre pour les empêcher ?
HS De la sécurité de base serait déja bien : cloisonner les réseaux et applications, former les développeurs, ne pas raccorder à un réseau public ce qui devrait rester un réseau privé, c’est-à-dire cloisonner le réseau de contrôle de la voiture de celui multimédia/Internet, et cloisonner entre usagers. C’est le B-A-BA. Et faire du logiciel de qualité. Pour cela être responsable légalement, pénalement, des failles de sécurité. Un constructeur dont la voiture ne freine pas quand le conducteur appui sur la pédale est-il responsable ? Quand c’est un logiciel qui n’a pas freiné, le conducteur de la voiture a cliqué sur « oui j’accepte les conditions », conditions qui disent qu’en cas d’erreur dans le logiciel le constructeur n’est pas responsable… mais le conducteur qui a utilisé le logiciel.
SN Les constructeurs automobiles sont-ils vraiment conscients des risques ?
HS Ils ont de nombreux communicants sur l’affaire. Preuve qu’ils sont conscients du risque d’image. L’article de Wired indique que les Européens sont un peu plus au courant que les autres, et les japonais un peu en retard. Je ne travaille qu’en Europe sur ces sujets mais je confirme plutôt son avis sur la maturité des constructeurs européens.
SN Font-ils appel à des sociétés de conseil ou, si vous le savez, disposent-ils d’experts dans le domaine ?
HS En Europe les constructeurs procèdent à des audits de sécurité et font appel à des sociétés spécialisées. Le micro constructeur américain Tesla a publiquement beaucoup recruté en sécurité, ils ont organisé des concours de piratage de leur voiture, exemple le modèle S à DEFCON 2014. Ils sont aussi un programme de bug bounty (https://bugcrowd.com/tesla). Mais Tesla, ce n’est pas Toyota, ni apparemment Chrysler. Il ne faut pas oublier qu’un constructeur de voiture fait le design et l’assemblage de composants conçus séparément, il est un intégrateur, et tout est mis sur le même réseau et le même ordinateur de bord. Il y a alors des problèmes d’homogénéité inévitables. Sur la qualité du code, je rappelle que dans l’expertise judiciaire faite sur le logiciel Toyota dans le cadre de leur procès « bug qui tue » [NDLR : en 2013, un bug logiciel de la Toyata Camry entraînait une accélération incontrôlée de la voiture], le code était décrit comme un « inextricable spaghetti bowl ». Voir ici : http://www.safetyresearch.net/blog/articles/toyota-unintended-acceleration-and-big-bowl-%E2%80%9Cspaghetti%E2%80%9D-code