Il n'y a pas si longtemps, les voleurs de voitures recouraient à la force brute : briser les vitres, crocheter les serrures et brancher les allumages. Aujourd'hui, alors que nos véhicules sont devenus des ordinateurs roulants de deux tonnes, le voleur de voiture moderne n'a pas besoin d'un pied-de-biche. Tout ce dont il a besoin, c'est d'un ordinateur portable et d'une connexion internet.

Ce passage de la vulnérabilité physique à la vulnérabilité numérique ne change pas seulement la façon dont les voitures sont volées, il révolutionne le concept même de sécurité automobile. Voyons ce que cette transformation signifie pour les conducteurs, les constructeurs et l'avenir des transports.

Voitures connectées : Une bénédiction mitigée

Les véhicules d'aujourd'hui sont des prouesses technologiques ; avec plus de lignes de code qu'un avion de ligne, ils offrent des niveaux de confort, de commodité et de sécurité sans précédent. Votre voiture peut désormais lire vos courriels, vous guider pour contourner les obstacles de la circulation et même se garer sur votre ordre. Mais cette connectivité a un prix.

Selon un article paru dans Wiredappuyé par un article du MIT Technology Reviewla voiture neuve moyenne contient plus de 100 millions de lignes de code, ce qui équivaut à la quantité de code qui alimente un avion de chasse moderne. D'ici 2030, environ 95 % des nouveaux véhicules vendus dans le monde seront connectés, contre environ 50 % aujourd'hui, affirme la société HTEC. Cette modernisation rapide des roues aux fils a élargi la surface d'attaque pour les cybercriminels potentiels.

Chaque point d'extrémité d'une voiture connectée, du Bluetooth aux API en passant par les applications mobiles, représente un point d'entrée potentiel pour les attaquants. Même des fonctions courantes comme les systèmes d'infodivertissement peuvent devenir des passerelles permettant aux malfaiteurs de prendre le contrôle de fonctions clés du véhicule.

Grand Theft Auto : un nouveau regard

La transformation du vol de voitures d'un délit physique en un délit numérique est devenue un sujet d'actualité il y a quelques années lorsque des chercheurs en sécurité ont pris le contrôle à distance d'une Jeep Cherokee, démontrant leur capacité à couper le moteur et à manipuler d'autres systèmes critiques. Il ne s'agissait pas d'un simple exercice théorique, mais d'une mise en évidence de vulnérabilités réelles susceptibles d'être exploitées par des pirates informatiques.

Depuis lors, l'industrie automobile a été confrontée à une pléthore de cyberattaques. De grands constructeurs comme Honda, Mercedes-Benz et Nissan ont tous été victimes d'exploits malveillants. exploits malveillants. Un procès intenté en Californie a révélé que des dizaines de milliers de Chevrolet Camaro présentaient une faille de sécurité critique. faille de sécurité dans leurs porte-clés, ce qui en faisait des cibles faciles pour les voleurs. Cette vulnérabilité, qui permet aux criminels d'intercepter et de reproduire les signaux du porte-clés, a entraîné une augmentation de plus de 1 000 % des vols de Camaro à Los Angeles.

En effet, l'une des vulnérabilités les plus importantes des véhicules modernes réside dans leur système d'ouverture à distance. systèmes de télédéverrouillage (RKS) qui fonctionnent en transmettant un code du porte-clés à la voiture. Bien qu'ils soient cool et pratiques, ils sont également sensibles à ce que l'on appelle une "attaque par retransmission".

Dans ce type d'attaque, un pirate informatique intercepte la transmission radio entre le porte-clé et la voiture, capturant ainsi le code de déverrouillage. Il peut ensuite utiliser ce code capturé pour déverrouiller le véhicule au moment qui lui convient. C'est l'équivalent numérique de la copie d'une clé physique, mais avec beaucoup moins d'efforts et beaucoup plus de possibilités d'exploitation massive.

Mais le vol de véhicules individuels n'est que la partie émergée d'un problème beaucoup plus vaste. Le scénario cauchemardesque pour les constructeurs automobiles et les experts en sécurité est la possibilité d'attaques à grande échelle, ou d'attaques sur des véhicules en mouvement. Imaginez un terroriste ou un acteur malveillant qui détourne simultanément une flotte entière de véhicules ou qui freine des milliers de voitures électriques en même temps. Le potentiel de chaos et de destruction est stupéfiant.

Le dilemme des applications mobiles

Si les téléphones sont devenus des extensions de notre identité, ils sont également devenus des extensions de nos véhicules. Des applications mobiles nous permettent désormais de verrouiller, déverrouiller, démarrer, conduire et même garer notre voiture à distance. Bien qu'incroyablement pratiques, ces applications représentent également un risque important pour la sécurité. risque de sécurité si elles ne sont pas correctement protégées.

Les cybercriminels peuvent potentiellement pirater et faire de l'ingénierie inverse sur ces applications, manipuler leur code, intercepter les données de l'utilisateur via des attaques par superposition d'écran, ou même prendre le contrôle des systèmes du véhicule. Une application compromise pourrait donner à un pirate le même niveau de contrôle sur votre voiture que s'il avait volé vos clés physiques - et potentiellement encore plus de contrôle que cela.

Qu'est-ce qu'une attaque par superposition d'écran ?

APIs : Les autoroutes cachées des données

Dans les coulisses de chaque voiture connectée se trouve un réseau complexe d'API (interfaces de programmation d'applications). Elles connectent les véhicules à divers services et bases de données en ligne, permettant des fonctions telles que les mises à jour du trafic en temps réel, les informations sur les déplacements et l'entretien, les mises à jour logicielles en temps réel et les diagnostics à distance.

Cependant, ces API peuvent également être exploitées par des pirates pour obtenir un accès non autorisé aux systèmes du véhicule ou aux données sensibles du conducteur/propriétaire. Une API vulnérable pourrait permettre à un pirate informatique de voler non seulement votre voiture, mais aussi vos informations personnelles, votre historique de conduite, vos données de diagnostic et de performance, etc.

Repenser la sécurité automobile

L'étendue et la complexité des vecteurs d'attaque potentiels dans les véhicules modernes exigent une approche fondamentalement nouvelle de la sécurité. Nous ne pouvons plus considérer la sécurité des voitures comme une simple question de verrouillage du volant et d'alarmes. Nous devons au contraire l'aborder avec le même état d'esprit que celui qui préside à la sécurisation d'un centre de données.

Penser différemment la sécurité automobile :

  • Tout compris: Intégrer la sécurité dans tous les aspects du véhicule dès le départ, et non pas après coup.
  • Flexible: Veiller à ce que les systèmes de sécurité soient adaptables et actualisables pour faire face à l'évolution des menaces et aux nouvelles vulnérabilités.
  • Rigoureux: Étendez la protection à l'ensemble de l'écosystème des services connectés, y compris les applications mobiles, les serveurs cloud et les API.
  • Intuitif: Concevoir des mesures de sécurité conviviales et non intrusives, afin d'empêcher les utilisateurs de les désactiver ou de les contourner.
  • Longue durée: Développer des systèmes de sécurité qui restent efficaces pendant une décennie ou plus, en s'adaptant à l'évolution de la technologie.

La voie à suivre : Sécurité automobile collaborative

Relever les défis de la cybersécurité des véhicules connectés nécessite un effort de collaboration de la part de l'ensemble de l'écosystème automobile. Il s'agit notamment de :

  • Fabricants: Donner la priorité à la sécurité dans la conception et la production des véhicules, en protégeant tous les composants, des systèmes critiques aux capteurs, contre les exploits.
  • Fournisseurs: Respecter des normes de sécurité rigoureuses pour éviter d'introduire des vulnérabilités dans les véhicules.
  • Développeurs: Mettre en œuvre des mesures de sécurité solides dans les applications et les services automobiles.
  • Régulateurs: Établir et appliquer des normes de cybersécurité pour les véhicules connectés, telles que la norme ISO/SAE 21434, qui définit les responsabilités spécifiques de plusieurs groupes au cours des multiples étapes du développement d'un produit automobile.
  • Consommateurs: Maintenez les logiciels à jour, utilisez des mots de passe robustes et restez conscients des risques potentiels afin de préserver la sécurité de votre véhicule.

Le vol de voitures est désormais une affaire de haute technologie

Le vol de voitures est passé de l'effraction physique à des cyberattaques sophistiquées, ce qui souligne la nécessité d'adopter des approches élargies en matière de sécurité automobile. La connectivité des véhicules modernes comporte à la fois des avantages et des risques. Une collaboration plus approfondie et de nouvelles solutions sont nécessaires pour intégrer des mesures de sécurité robustes, flexibles et conviviales afin de protéger à la fois les voitures et les personnes qui les conduisent.