Les Cybermenaces Dans L’Industrie Automobile

Tout dispositif connecté peut faire l’objet de cybermenaces. D’ailleurs, les téléphones, les ordinateurs portables, les objets connectés (« Internet of Things ») et même les bases de données d’entreprise, sont considérés comme des ressources particulièrement vulnérables. Par Jeff Davis.

 

Nous entrons dans un monde où notre système de transport (voitures, camions, feux de signalisations et trains) est désormais exposé aux menaces. Mais, avant de s’alarmer, il faut bien admettre que cela a aussi un impact positif : les voitures connectées et autonomes peuvent par exemple préserver des vies, réduire les coûts mais aussi optimiser la consommation d’énergie.

Les progrès de la technologie automobile nous permettront de profiter de nos déplacements et de rendre nos trajets plus sûrs. Ne nous y trompons pas, nous souhaitons évidemment que cette technologie soit une réalité si ce n’est pas une norme pour chacun d’entre nous.

Cependant, malgré tous les avantages qu’ils peuvent apporter, les progrès de la technologie et de la connectivité appliqués au secteur de l’automobile comportent les mêmes risques que pour nos téléphones et ordinateurs. Cela constitue d’ailleurs une des problématiques majeures à laquelle doivent faire face les constructeurs. Les menaces telles que l’atteinte à la vie privée, les failles de sécurité ou encore le vol de données sont au cœur des préoccupations de l’industrie des transports. Alors, comment pouvons-nous, en tant qu’industrie, utiliser au mieux nos ressources collectives pour faire face à cette menace ? Selon Motherboard, un hacker « GreyHat » qui se fait appeler L&M a récemment déverrouillé l’accès à des milliers de comptes appartenant aux utilisateurs des applications de suivi GPS iTrack et ProTrack. Grâce à cette manœuvre, le hacker a pu surveiller l’emplacement de dizaines de milliers de véhicules dans des pays comme l’Afrique du Sud, le Maroc, l’Inde et les Philippines et a même eu la possibilité de couper certains moteurs en marche.

 

Comment L&M a-t-il pu s’y prendre ?

Tous les clients iTrack et ProTrack ont reçu un mot de passe par défaut lors de leur inscription («123456»). L&M a pu utiliser la méthode dite « brute-force » (ou force brute) lui permettant de tester un grand nombre de noms d’utilisateurs courants via l’interface de programmation (API) de chaque application. En codant un script lui permettant de remplir automatiquement plusieurs noms d’utilisateur et le mot de passe par défaut, L&M a pu se connecter automatiquement à des milliers de comptes et extraire des données sensibles. Certaines de ces données comprenaient le nom et le modèle des dispositifs GPS utilisés, les numéros de série, les noms d’utilisateur ainsi que des données relatives aux personnes physiques (noms, prénoms, numéros de téléphone, adresses électroniques et adresses postales). Comme le font souvent les hackers dits « GrayHat », L&M a déclaré vouloir porter le risque de sécurité à la connaissance de ces sociétés afin qu’elles puissent mieux protéger leurs clients.

Une enquête menée auprès des constructeurs automobiles par Synopsys et SAE International a révélé que 62% des personnes interrogées estiment qu’il est probable que des attaques malveillantes visant leurs logiciels, leurs composants automobiles et / ou leurs technologies se produisent au cours des 12 prochains mois. Bien que les voitures connectées soient utilisées de plus en plus fréquemment, la quantité de données disponibles n’est à ce jour pas suffisante pour appréhender la capacité de l’industrie automobile à faire face aux risques de sécurité logicielle des véhicules connectés. A mesure que nous nous dirigeons vers des véhicules autonomes basés sur l’intelligence artificielle, le Machine Learning et la connectivité, la cyber sécurité automobile est d’autant plus cruciale qu’elle permettra de limiter l’accès aux véhicules par les acteurs malveillants.

Les véhicules actuels sont équipés de centaines de processeurs qui contrôlent tout, des systèmes de sécurité d’une voiture à la direction, en passant par les accélérations, etc. Ainsi, des vulnérabilités dans le logiciel pourraient compromettre la sécurité physique des passagers mais aussi celle des autres usagers. Une majorité des acteurs de cette industrie ont d’ailleurs conscience de ces problématiques et réagissent en ce sens : la création du Centre d’analyse et de partage d’informations sur l’automobile (Auto-ISAC), le développement des rôles clés en matière de cybersécurité chez les fabricants et fournisseurs, la large adoption des standards établis par le National Institute of Standards and Technology (NIST) Cybersecurity Framework ainsi que le consensus établi autour des bonnes pratiques, sont autant de preuves de la détermination des acteurs du secteur à protéger leurs clients.

 

Mais comment améliorer cela ?

Tout d’abord par une réelle compréhension de la cybersécurité dès sa conception et jusqu’à son implémentation, de la même manière que l’industrie comprend la notion de sécurité. Cela représente plus de travail qu’on ne peut le penser. On parle notamment d’établir des accords permettant d’identifier les vulnérabilités, sans pour autant léser qui que ce soit dans la chaine d’approvisionnement. Autrement dit, il est nécessaire que tous les acteurs impliqués – qu’ils soient fournisseurs ou acteur de l’usine d’assemblage – puissent identifier et comprendre les risques, construire des systèmes de défense, détecter et corriger les possibles incidents/problèmes, et plus important encore, apprendre à s’en relever. Il est donc impératif de comprendre qu’un système sécurisé (train, ville, voiture etc.) ne peut l’être qu’à partir du moment où ses éléments constitutifs, ainsi que les pratiques, le soient en conséquence. Cette notion de sécurité est un élément indéniable intervenant dans la prise de décision, notamment dans les achats. D’ailleurs, chacun des choix ainsi effectués pourra, à termes, amener à diminuer ou à augmenter les risques.

Intégrer la notion de sécurité à nos réflexions ainsi qu’à nos pratiques va permettre d’accroitre notre efficacité : elle doit être visible à chaque niveau de la supply chain dans les pratiques du Back-office, dans les actions de chaque employé de l’entreprise et également au travers de l’ensemble du réseau de transport. Par conséquent, les produits, logiciels, et personnes qui composent le « système » doivent s’assurer d’être prêts à réagir à une erreur humaine.

 

Dans la course aux voitures autonomes, la confiance des consommateurs est tout aussi importante que la technologie. Pour que le grand public puisse adopter massivement les véhicules autonomes, il faut qu’ils puissent faire confiance aux différentes technologies et à leurs avantages et qu’ils puissent croire en l’attitude responsable des entreprises qui les construiront et en tireront profit.

 

<<< A lire également : Replacer L’Humain Au Cœur De La Cybersécurité >>>

 

Par Jeff Davis – Head of Smart Transportation Innovation and Development chez BlackBerry