Décryptage

La sécurité des voitures connectées dans le radar des gendarmes

Posté le 9 février 2016
par Philippe RICHARD
dans Entreprises et marchés

D’ici à 2018, plus de 400 millions de véhicules connectés devraient circuler sur nos routes. Une aubaine pour les constructeurs et les équipementiers. Mais peut-être aussi pour les pirates. Car pour l’instant, les failles de sécurité sont multiples.

La connectique et l’informatique se sont progressivement invitées dans l’habitacle. Avec les réseaux mobiles et la miniaturisation des composants électroniques, cette tendance s’est accentuée ces dernières années. La voiture connectée a pour finalité de faciliter la conduite de l’automobiliste et de rendre plus agréable le temps de parcours pour tous ses occupants (accès au web, musique en streaming…).

Mais ce n’est qu’un début. Les véhicules connectés vont passer la vitesse supérieure avec la connectivité coopérative. Jusqu’à présent ce sont des capteurs sur la route qui transmettaient des informations aux voitures. Demain, ces données seront échangées directement entre les véhicules eux-mêmes, mais aussi entre les véhicules et les infrastructures. Ces échanges utiliseront le réseau Wi-Fi sur une fréquence dédiée de 5.9 GHz et transiteraient par la plate-forme SCOOP (Projet de déploiement pilote de systèmes de transport intelligents coopératifs) pour être relayée aux autres véhicules.

Pour PSA, à terme, la voiture connectée devrait permettre de satisfaire quatre besoins du client : le gain de temps, la sécurité, l’économie d’argent et la distraction.

Mais attention, « la voiture connectée ce n’est pas un smartphone avec des roues mais deux tonnes qui roulent à 130 km/h et qui transportent des êtres humains à l’intérieur » a tenu à rappeler fort justement Jean-François Huère, délégué à la sécurité routière pour PSA Peugeot Citroën lors du FIC (Forum International de la Cybersécurité), à Lille fin janvier.

Lors de ce colloque sur la cybersécurité organisé par la Gendarmerie, les forces de l’ordre se posent de sérieuses questions quant à la protection des données transitant dans tous ces véhicules (ce qui inclut aussi les trains et les aéroplanes). Le Colonel de Gendarmerie Franck Marescal, responsable de l’observatoire central des systèmes de transports intelligents, a indiqué qu’un cahier des charges est en cours d’élaboration pour rassembler des préconisations et éviter dans les années à venir des attaques de type ransomware (véhicule bloqué jusqu’au paiement d’une rançon) et DDoS contre l’adresse IP d’une voiture connectée. « La démarche générale de sécurité, les constructeurs automobiles l’ont bien comprise », a déclaré le Colonel de Gendarmerie Franck Marescal.

Cette prise de conscience est indispensable, car les vecteurs d’attaques se sont multipliés : modem 4G/LTE, Wi-Fi, Bluetooth, les prises USB internes ou encore le port ODB. Difficile de tout contrôler, car le nombre de composants a explosé. Ainsi sur une Tesla S, il y a près de 5 300 composants informatiques et électroniques et les mises à jour de l’OS embarqué se font Over The Air. Pas étonnant dans ces conditions que des experts puissent pirater facilement une voiture. L’une des plus éclatantes démonstrations a été menée il y a quelques par deux chercheurs en sécurité pour le compte du magazine Wired. En quelques minutes, ils avaient pris le contrôle d’une Jeep Chrysler. Depuis, son constructeur a déployé un correctif de sécurité…

Autre problématique à gérer : le respect de la vie privée. Dans une note du Centre de Recherche de l’École des Officiers de la Gendarmerie nationale, datée de 2014, le colonel Laurent VIDAL s’inquiétait déjà : « Les systèmes de connexion des véhicules vont engendrer des masses de données qui iront s’accumuler dans des data centers, au milieu d’un cloud toujours plus gros. La question de la propriété de ces données est posée. Le constructeur, le propriétaire, passager, le gestionnaire d’infrastructure, la plate-forme de gestion du trafic, le fournisseur des boîtiers, les opérateurs de télécommunication, les organismes de sécurité publique peuvent tous en revendiquer une parcelle. »

Face à de telles menaces, la CNIL prône autant que possible l’anonymisation des données et leur minimisation.

Philippe Richard


Pour aller plus loin

Dans les ressources documentaires