Selon I Am The Cavalry, les voitures connectées sont insuffisamment protégées des intrusions informatiques. Le groupe d’experts propose 5 principes aux constructeurs pour améliorer la situation.
Que penser de la technologie embarquée quand on sait qu’elle peut devenir dangereuse? Dans l’immédiat, la réflexion est encore en suspend, puisque les voitures ne sont pas encore reliées entre elles. Mais demain, les hackers décidés et équipés pourront lancer des attaques virales sur une ou plusieurs voitures en même temps; il sera alors aisé de détruire les systèmes par dizaines. En parallèle, la question du progrès se pose encore. Et une question de revenir sans cesse: ne vaudrait-il pas mieux, pour déjouer les passions de ces nombreux hackers, revenir aux anciennes générations avec une mécanique simple et sans électronique?
A mesure que les voitures s’équipent d’électronique, non seulement pour des applications de divertissement mais aussi pour des fonctions essentielles comme le freinage, et s’enrichissent de connexions sans fil, les risques s’accumulent. Lors de la dernière conférence Black Hat, deux chercheurs, Charlie Miller et Chris Valasek, avaient analysé la surface d’attaque de 24 voitures émanant de divers constructeurs. Mettant en évidence la vulnérabilité de certains modèles.
Aujourd’hui, dans une lettre ouverte, le groupe de chercheurs en sécurité appelé I Am The Cavalry, fondé il y a tout juste un an, appelle l’industrie automobile à adopter d’urgence des principes forts en matière de sécurité.
Dans leur document, les chercheurs de I Am The Cavalry, qui estiment que les «voitures modernes sont des ordinateurs sur roues», soulignent cinq principes qui doivent, selon eux, désormais guider la conception des voitures connectées:
– révision des principes de design pour y intégrer la sécurité;
– collaboration active avec les spécialistes (y compris via des programmes de récompense pour la découverte de bogues);
– conservation des logs et enregistrements électroniques dans une boîte noire;
– mise en place d’un système de mises à jour de sécurité sur le parc de véhicules en utilisation sans campagne de rappel;
– segmentation et isolation des différents sous-systèmes (et notamment des fonctions de divertissement vis-à-vis des fonctions critiques du véhicule).
L’industrie ne reste pas inactive. OASIS (Optimized, Adaptable, Secure, Intelligent, Seamless), un projet commun entre l’équipementier automobile Visteon et Cisco, consiste à “blinder” les communications car-to-cloud, échanges entre la voiture et les serveurs du constructeur qui accepteront, ou pas, la mise en service de tel ou tel logiciel sur la voiture. Le chiffrement des communications sera de mise, avec une difficulté toutefois: une voiture peut exploiter de multiples réseaux pour se connecter à Internet (3G, 4G, Wifi, Bluetooth, etc.). Les premiers démonstrateurs de leur technologie sont attendus d’ici à neuf mois…
