La voiture autonome, ou connectée, représente le futur du secteur automobile et un vrai bouleversement dans nos habitudes de conduite au quotidien. Mais les récentes démonstrations montrent que ces véhicules ne sont pas à l’abri d’une d’attaque cyber.
Des risques bien réels : les exemples Jeep Chrysler et Tesla
Une voiture autonome, c’est par définition une voiture connectée : GPS, capteurs, accès Internet par 3G/4G… Tous ces éléments sont autant de portes d’entrée vers une voiture qui devient ni plus ni moins qu’un réseau où sont connectés des dizaines d’ordinateurs spécialisés. Ces derniers sont en charge de gérer les différents composants du véhicule. Volant, frein, accélérateur, tous doivent être informatisés pour que le « cerveau » de la voiture autonome puisse les diriger.
La combinaison de ces connexions externes et de l’informatisation des fonctions de conduites pose aujourd’hui des risques bien réels. Pendant longtemps jugées théoriques, la capacité d’attaque des voitures connectées a été démontré dans 2 cas emblématiques. Le 1er visait une Jeep Chrysler, a l’été 2015. Charlie Miller et Chris Valasek ont montré comment, après plusieurs années de recherche, ils ont pu prendre le contrôle du véhicule de série à distance. En aout 2016, ils ont montré qu’ils pouvaient aller encore plus loin dans la capacité à contrôler les fonctions de pilotage. Le 2ème a touché Tesla en septembre 2016, dans le même esprit une équipe de chercheurs Chinois de Tencent a réussi à piéger une Tesla et à en prendre le contrôle intégralement.
Derrière, les conséquences ont été lourdes : impact sur l’image des constructeurs et surtout programme de rappel coûteux pour Jeep Chrysler via l’envoi de clés USB aux millions de clients concernés. Tesla, plus habitué à l’environnement cyber, disposait de moyens pour mettre à jour ces véhicules à distances et a réussi en une dizaine de jours à couvrir ces failles. À noter que ce délai est particulièrement court par rapport au contexte actuel des objets connectés.
Une prise de conscience en progression
Ces deux démonstrations ont fait prendre conscience au grand public et aux constructeurs des enjeux de la cybersécurité. Beaucoup d’entre eux investissent et se renforcent sur cet aspect. Volkswagen vient par exemple d’investir pour créer la société Cymotive. Tesla a lancé historiquement un programme de « bug bounty » permettant aux chercheurs en sécurité d’être rémunérés s’ils trouvent des failles sur les véhicules, ceci pouvant éviter aussi que ces failles soient revendues sur les marchés noirs de la cybercriminalité.
Le crash test cyber ou comment bien choisir sa voiture autonome !
Tous les constructeurs ne sont pas au même niveau de prise de conscience et d’investissement. Mais alors comment en tant que particulier choisir une voiture qui sera « cybersécurisée » ? Aujourd’hui, au-delà de quelques papiers de recherche, il n’y a pas de moyens simples de répondre à cette question. Il serait temps que les organismes en charge des crash-test, tel qu’EuroNcap, s’empare du sujet et définissant des indicateurs de cybersécurité d’un véhicule ! Quelques éléments simples peuvent permettre d’évaluer le niveau de sécurité : niveau d’isolation des fonctions de pilotage de celle de connexion à Internet, capacité de mise à jour fiable et non bloquante, alerte du conducteur et du constructeur en cas d’attaque…
Ceci permettrait simplement, par un système d’étoiles compréhensible par tous, d’évaluer la cybersécurité des véhicules. Les clients pourraient alors faire leur choix en connaissance de cause. Et comme pour les crash tests habituels, cela mobiliserait les constructeurs sur la cybersécurité !
