Les hackers vont s'emparer des voitures autonomes ?
D'ici 2030, les voitures sans conducteur représenteront environ 25 % des véhicules transportant des passagers dans les pays développés - selon les estimations de Gartner. Des prototypes de ces voitures sont déjà testés sur les routes publiques au Royaume-Uni, en France et en Suisse. Les experts en sécurité avertissent déjà que les véhicules électroniques et en réseau seront la cible des pirates informatiques.
- Les voitures autonomes recueilleront des informations, elles devront être contrôlées d'une manière ou d'une autre, elles seront donc des cibles potentielles pour les groupes de pression, les hackers, les activistes. Ils pourraient également devenir la cible de cybercriminels qui voudront probablement en tirer profit", explique Mariusz Rzepka, directeur de la chaîne de télévision Newsrm.tv pour la Pologne, l'Ukraine et la Biélorussie.
Le nombre de composants électroniques dans les voitures augmentera considérablement dans un avenir proche, et les capteurs, les radars, le GPS et divers éléments d'intelligence artificielle permettront une conduite sûre. Une voiture autonome peut même être privée d'un volant facilement accessible. Les systèmes qui permettent la conduite automatique devront être intégrés aux systèmes qui nécessitent une connexion Internet. Et c'est là que les problèmes commencent. Selon Mariusz Rzepka, les cybercriminels pourront accéder à distance aux véhicules et pirater leurs systèmes. Cela expose les propriétaires, entre autres, à la violation de leur vie privée, au vol de données ou à une menace directe pour la sécurité, la santé et la vie des personnes.
Les voitures autonomes utiliseront des systèmes différents et interdépendants. Les pirates chercheront les vulnérabilités dans la sécurité des services moins protégés (tels que les systèmes multimédia) et tenteront d'infiltrer les systèmes plus critiques. À cette fin, une connexion entre le système de gestion du moteur et l'écran du panneau multimédia peut être utilisée pour afficher des messages concernant, par exemple, un dysfonctionnement spécifique ou le mode de fonctionnement actuel.
Les systèmes de voitures traditionnels provenaient généralement d'un seul fabricant. Dans les véhicules autonomes, il sera probablement nécessaire d'installer des logiciels provenant de plusieurs fournisseurs - y compris des logiciels libres accessibles au public. La technologie de l'information - contrairement aux systèmes de contrôle industriels, qui comprennent des systèmes automobiles désuets - n'est pas prévisible. Cela peut être accepté si les pages web sont indisponibles pendant le redémarrage du serveur. Cependant, si un petit dysfonctionnement des systèmes de conduite est dû à une défaillance d'autres systèmes adjacents, le problème devient beaucoup plus grave.
Rançon pour le déverrouillage de la voiture
Selon Mariusz Rzepka, les voitures sans conducteur seront la cible d'attaques par rançon, qui consistent à forcer une rançon pour déverrouiller l'accès à des données ou à des services. Imaginez le scénario suivant : un pirate informatique utilise l'écran de la voiture pour informer le conducteur que sa voiture est immobilisée et que le propriétaire doit payer une rançon pour la restaurer. Le propriétaire peut se trouver loin de chez lui (l'attaque peut être programmée pour se déclencher lorsque la voiture se trouve à une certaine distance de la base - la résidence du propriétaire) et le véhicule devra être remorqué. On estime que dans le cas des véhicules, la redevance exigée par les cybercriminels sera sensiblement plus élevée que le prix de la rançon pour une attaque informatique. Toutefois, il restera probablement inférieur aux coûts de réparation à faire payer aux propriétaires de véhicules. Certains fabricants seront prêts à résoudre ces problèmes et des spécialistes aideront à réinitialiser les composants immobilisés.
Les voitures autonomes rassembleront de nombreuses informations sur leur propriétaire, notamment les destinations les plus courantes, les itinéraires qu'elles choisissent, leur lieu de résidence, la manière dont elles font leurs courses et les passagers qui les accompagnent. Un délinquant qui a connaissance du long voyage d'une personne peut vendre ces informations à des voleurs qui s'introduiront chez une personne absente ou qui utiliseront ces informations pour nettoyer son compte bancaire. Selon Mariusz Rzepka, cette deuxième menace existe parce qu'une voiture autonome connectée en permanence devient la porte d'entrée de nombreuses transactions électroniques, comme le paiement du café du matin, des frais de stationnement ou des réparations. La RFID et la NFC sont déjà largement utilisées dans les cartes de paiement, et leur utilisation dans la voiture sera un autre moyen d'intercepter des données sur le propriétaire et ses passagers.
Dans le contexte des voitures autonomes, il y a quatre domaines clés où la sécurité doit être assurée.
La première est la communication à l'intérieur du véhicule. La connexion entre les différents systèmes embarqués doit être étroitement surveillée et gérée par des systèmes tels que les pare-feu et les systèmes de prévention des intrusions, qui peuvent distinguer les communications normales des communications non autorisées.
Le deuxième domaine est la communication externe. De nombreux systèmes (si ce n'est tous) dans les voitures du futur nécessiteront une connexion Internet. La communication externe sera probablement bilatérale, soit initiée par le véhicule, soit initiée de l'extérieur par le constructeur ou les prestataires de services. Cela signifie que le trafic réseau à destination et en provenance du véhicule devra également être contrôlé pour détecter les menaces et les connexions non autorisées.
L'infrastructure de communication utilisée dans les voitures - qui est la troisième des zones sensibles - devrait être basée sur des réseaux mobiles fiables tels que 3G et 4G, mais avec quelques modifications. Bien que les services mobiles offrent déjà une connectivité à des milliards de smartphones et autres appareils dans le monde, ils ne sont pas équipés d'un système de sécurité cohérent. Une attaque dirigée contre ou via un réseau cellulaire peut provoquer des accidents graves qui compromettent la sécurité des véhicules. La sécurité des réseaux mobiles qui assurent les communications critiques pour les voitures nécessitera donc une attention particulière.
Le quatrième domaine est celui des systèmes de reconnaissance d'identité et de contrôle d'accès conçus pour les machines. Les voitures doivent pouvoir authentifier les appels entrants dans les systèmes, et les services fournis sur Internet doivent pouvoir vérifier les données de connexion pour les applications en nuage ou les opérations de paiement.
Selon l'expert, les constructeurs automobiles devraient coopérer étroitement avec les fournisseurs de sécurité informatique. Un bon exemple est la coopération au sein de l'Automobile ISAC (Information Sharing and Analysis Centre). L'installation d'un nombre croissant de technologies dans les voitures qui améliorent le confort de conduite ou les performances du véhicule doit être équilibrée par la gestion des risques et des dangers potentiels. L'utilisation de dispositifs de sécurité appropriés dans les systèmes d'information des voitures devrait donc être obligatoire.
Source : newsrm.tv