Véhicules autonomes : les risques liés à la cybersécurité doivent être mieux pris en compte

Tout système informatique est vulnérable : infection par un code malveillant, modification du code source, fuite de données… Les véhicules autonomes n’échappent pas à cette règle comme l‘ont démontré plusieurs hackers qui ont eu réussi à prendre le contrôle de tel ou tel modèle de voiture. Le piratage d’une Tesla 3 a même permis d’accéder à des informations critiques stockées dans le disque dur du véhicule.

Problème : l’intégration de l’IA rend plus complexe la protection du système informatique embarqué et des données plus ou moins sensibles qui y transitent. Un constat qui sert de « fil rouge » au récent rapport de l’ENISA (European Union Agency for Cybersecurity) et du CCR (un service scientifique et de production des connaissances de la Commission européenne).

Ce rapport « Cybersecurity Challenges in the Uptake of Artificial Intelligence in Autonomous Driving » analyse les risques de cybersécurité liés à l’IA (dus en partie à l’ajout d’algorithmes ML complexes et opaques), dans les véhicules autonomes et fournit des recommandations pour les atténuer.

« Les risques de cybersécurité dans les véhicules à conduite autonome peuvent avoir un impact direct sur la sécurité des passagers, des piétons, des autres véhicules et des infrastructures connexes. Il est donc essentiel d’étudier les vulnérabilités potentielles introduites par l’utilisation de l’IA », indiquent les auteurs du rapport.

Les véhicules autonomes sont également vulnérables aux défis de cybersécurité touchant les capteurs physiques, les contrôles et leurs mécanismes de connexion, selon le rapport.

Un rapport alarmiste et proche d’un scénario de science-fiction ? La réalité montre au contraire que la situation est alarmante. Par exemple, des voitures autonomes Tesla ont été trompées en accélérant au-delà des limites de vitesse affichées sur les panneaux de signalisation en modifiant le chiffre « 3 » pour lire 85 mph au lieu de 35 mph.

Enfin, des chercheurs de Tencent (un acteur chinois majeur de l’Internet et particulièrement de la publicité et des applications mobiles) ont trompé le système de pilotage automatique d’une Tesla en l’amenant à se tromper de voie à l’aide d’autocollants.

Situations inattendues et nouvelles attaques malveillantes

Afin d’améliorer la sécurité de l’IA dans les véhicules autonomes, le rapport contient plusieurs recommandations. La principale est que des évaluations de sécurité des composants de l’IA soient effectuées régulièrement tout au long de leur cycle de vie. Cette validation systématique est essentielle pour garantir que le véhicule se comporte toujours correctement face à des situations inattendues ou à de nouvelles attaques malveillantes.

L’ENISA recommande également aux parties prenantes de simuler divers scenarii d’attaque et de mettre en place des équipes de traitement et de réponse aux incidents de cybersécurité.

Comme pour les autres domaines de l’informatique et de l’IA, les experts insistent sur la mise en place d’une approche holistique de bout en bout pour intégrer la cybersécurité de l’IA aux principes traditionnels de cybersécurité : investissement dans la R&D, gouvernance des données afin d’être en conformité avec les règlementations (et notamment le RGPD) et adoption d’une culture de cybersécurité de l’IA dans l’ensemble du secteur automobile.

Une recommandation qui est, semble-t-il, entendue par ce secteur. L’Autonomous Vehicle Computing Consortium (consortium regroupant des industriels de l’automobile et des entreprises technologiques) et la SAE International (organisation internationale comptant plus de 84 000 ingénieurs, chefs d’entreprise, professeurs et étudiants de plus de 97 pays) viennent de décider de travailler ensemble. Parmi les thèmes prévus : l’amélioration de la cybersécurité des véhicules autonomes.