https://wordpress.org/

La voiture connectée, entre rêve et cybersécurité

Publié le 30/08/2021
Partager sur :

Ecrit par Alexis Vergneau.

La voiture connectée est le nouvel essor d’une industrie qui fait face à une baisse de son marché. Ce secteur, qui présente un chiffre d’affaire supérieur à 190 milliards d’euros, a vu le nombre d’immatriculations de voitures neuves chuter à 1,65 million en France en 2020. Cette mauvaise passe est due à différents facteurs, bien entendu sanitaires mais également environnementaux, réglementaires et sociétaux défavorables à l’automobile classique. Cela pousse les acteurs du secteur à revoir leurs convictions et approches afin de proposer une automobile répondant aux enjeux actuels et futurs.

L’avènement des nouvelles technologies a apporté des premiers éléments de réponse afin de dessiner le véhicule de demain : la voiture connectée.

La voiture connectée fait écho au véhicule de demain embarquant une variété de nouvelles technologies et parfois même de l’Intelligence Artificielle, afin d’interagir avec son environnement et ce pour améliorer les performances du véhicule et à terme le rendre autonome.

Elle a vocation à offrir une diversité de services afin d’améliorer le confort, la sécurité et les aspects écologiques de la conduite. Les usages d’un véhicule connecté sont nombreux. La voiture de demain repose sur l’utilisation de capteurs et les applications induites sont variées comme par exemple la navigation, la maintenance prédictive, la sécurité routière, le divertissement ou encore l’assistance à la conduite. Ces usages reposeront sur l’intégration de différentes technologies comme le Near-Field Communication (NFC), Wi-Fi, 4G / LTE ou 5G. Seat et l’organisation 5G Automotive Association (5GAA) estiment, avec l’utilisation de la 5G, que le véhicule connecté sera en mesure d’éviter 68% des accidents.

10,7 millions de voitures connectées en France en 2021

L’institut Statista estime qu’environ 10,7 millions des voitures seront connectées en France en 2021. Constructeurs et équipementiers, répondent naturellement présents et sont en recherche permanente afin d’apposer leur pierre à l’édifice. Cependant ces acteurs historiques ne sont pas les seuls sur ce segment. En effet, ce nouveau marché fait émerger de nouveaux acteurs tels que les géants du numérique Amazon, Google ou encore Apple. L’arrivée des GAFA est, pour le moment, d’avantage une aubaine pour le secteur, qu’une menace car ils apportent une plus-value technologique permettant de répondre aux besoins. Moins soupçonnés mais tout autant intéressés, des professionnels de l’entretien automobile, des assureurs, ou des gestionnaires de flotte apporte de nouveaux cas d’usage pour le véhicule connecté afin de proposer de nouveaux services et des performances améliorées.

Toutefois, l’utilisation de nouvelles technologies ainsi que des données afin de promouvoir le véhicule de demain embarque son lot de vulnérabilités et de menaces, qui, si exploitées, peuvent mettre à mal l’objectif même de la voiture connectée.

Des données personnelles potentiellement entre de mauvaises mains

En effet, le risque cyber peut induire un impact majeur que ce soit pour le constructeur et ses partenaires ou bien simplement pour l’usager du véhicule. L’exemple le plus parlant est celui réalisé par des chercheurs en cybersécurité, qui ont réussi à prendre la main sur une Jeep disposant de nouvelles technologies. Ces chercheurs ont compromis la Jeep en utilisant la connexion internet utilisée par le véhicule. A moindre mesure, ils ont ensuite réussi à prendre le contrôle de l’écran, des essuie-glaces, etc. et plus inquiétant, pris le contrôle du système de freinage et pu arrêter le véhicule. On vous présentait ce genre de vulnérabilités dès 2017 sur notre blog, avec les prises de contrôle de voitures connectées ou le hacking des clés des Tesla. Ces sujets prenant de plus en plus d’ampleur, Tesla est allé jusqu’à proposer aux hackeurs éthiques de tenter d’attaquer une Tesla Model 3 lors d’un concours de sécurité informatique.

Cela montre que la technologie et la connectivité apportent au secteur de l’automobile les mêmes avantages mais aussi les mêmes menaces que pour les équipements informatiques. En effet, l’industrie automobile et l’industrie informatique font face aux mêmes problématiques majeures telles que l’atteinte à la vie privée, les failles de sécurité ou le vol de données.

L’Administration nationale de la sécurité routière américaine (NHTSA) a identifié 4 cybermenaces en lien avec la voiture connectée et les services qui en découlent. La 1ère menace pèse sur l’atteinte aux données personnelles et aux données assurant la sécurité routière. En effet, la voiture connectée et/ou autonome est vouée à utiliser des données pour interagir avec son environnement, et d’autres pour offrir des services. La 2nde menace est liée aux données personnelles des passagers tels que les moyens de paiement. L’idée est de sécuriser ces données afin d’éviter des transactions commerciales non souhaitées ou non autorisées aux services proposés. Les deux dernières menaces sont d’ordre opérationnel. En effet, une personne malveillante peut chercher à compromettre le véhicule connecté afin d’en interférer les fonctions à vocation sécurité (ADAS ou systèmes avancés d'aide à la conduite - Advanced driver-assistance systems) ou ne relevant pas de la sécurité (tableau de bord).

En 2030, 96% des véhicules neufs dans le monde seront dotés d'une connectivité intégrée. Dès lors si une attaque d’ampleur survient, les dégâts seront dramatiques. Par conséquent les différents acteurs se mobilisent afin de standardiser le véhicule connecté et autonome pour en réduire le risque.

Un secteur qui s’organise afin d’intégrer la notion de cybersécurité

Plusieurs pistes de réflexions sont apportées afin d’aider et répondre aux besoins des professionnels pour concevoir un véhicule connecté et sécurisé. En 2016, suite à un comité, SAE International publie un manuel SAE J3061 intitulé « Cybersecurity Guidebook for Cyber-Physical Vehicle Systems ». Ce manuel a pour objectif d’aider les acteurs de ce secteur à intégrer la cybersécurité dans l’ensemble des processus du cycle de vie du véhicule connecté. Afin d’aller plus loin, SAE International a élaboré par la suite un standard afin de cadrer le secteur : ISO/SAE 21434. Cette norme apporte une réponse aux constructeurs, équipementiers et fournisseurs de services pour analyser et gérer les risques et y apporter une solution et/ou remédiation. Cette norme aborde tous les axes de la cybersécurité, de la gouvernance à la mise hors service, en passant par la réponse aux incidents. Les méthodes d’analyse de risques sont mises en évidence au sein de cette norme et plus généralement, l’analyse de risques en est le socle.

A l’instar de SAE International, d’autres acteurs s’intègrent à l’initiative pour normaliser ce secteur et les fonctionnalités et aspects en découlant. En France, la Commission Nationale de l'Informatique et des Libertés (CNIL) s’est aussi penchée sur le sujet. Le véhicule connecté reposant sur l’utilisation de données personnelles dans le cas d’un service, il tombe donc sous le joug du Règlement Européen sur la Protection des Données (RGPD). Pour cela la CNIL a publié un pack de conformité afin de protéger les données personnelles des utilisateurs et se conformer au RGPD. Au travers de ce pack, la CNIL surligne que les données telles que le numéro de la plaque d’immatriculation ou le numéro de série du véhicule sont à caractère personnel. La CNIL identifie aussi 3 scénarios amenés à utiliser des données personnelles. Le premier, nommé « IN => IN » correspond aux données collectées dans le véhicule restant dans celui-ci sans transmission au fournisseur de services. Le second, « IN => OUT » s’intéresse aux données collectées dans le véhicule et transmises à l’extérieur pour fournir un service à la personne concernée. Le dernier, « IN => OUT => IN », se focalise sur les données collectées dans le véhicule qui transmises à l’extérieur sont amenées à déclencher une action automatique dans le véhicule.

A cela s’ajoute des initiatives ayant pour objectif de sécuriser des fonctionnalités de la voiture connectée. L’une des plus parlantes concerne la clé servant à verrouiller, déverrouiller et démarrer un véhicule. Celle-ci pouvant désormais se virtualiser et se retrouver sur un smartphone. Un smartphone devenant donc une interface avec la voiture et impliquant des enjeux pour la connectivité entre ces deux parties. Plusieurs entreprises (Apple, BMW, LG, Panasonic, Samsung, Volkswagen, etc.) se sont associées afin de créer le Car Connectivity Consortium (CCC). Ce consortium a pour objectif de normaliser l’interface entre le véhicule et le smartphone. Ce groupe de travail a donc établi des standards comme MirrorLink (standard d’interopérabilité permettant l'intégration entre un smartphone et le système multimédia) ou bien Digital Key (un écosystème standardisé pour utiliser son mobile afin d’accéder à son véhicule). De plus, CCC se charge aussi d’évaluer et certifier les véhicules et applications pour leur conformité.

Sur la voie de la sécurisation de la voiture connectée

Aujourd’hui, les voitures sont dotées de systèmes qui se connectent à d’autres véhicules, à des appareils mobiles, à des infrastructures ou encore au Cloud. Ces interactions apportent leurs lots de bénéfices pour l’expérience utilisateurs mais aussi des menaces. Différentes initiatives existent pour aiguiller et soutenir les constructeurs, équipementiers et fournisseurs de service dans leur développement de produits/services pour le véhicule connecté, afin de le rendre plus sûr. Ces initiatives, couplées à un accompagnement, aideront les professionnels du secteur à répondre aux enjeux de la voiture connectée.

HeadMind Partners accompagne ainsi ses clients dans leurs problématiques de sécurité industrielle, qui nécessitent désormais également des expertises sécurité variées (protection des données personnelles, sécurisation du cloud ou de l’internet des objets…).

Veuillez saisir votre adresse email pour vous abonner. Envoyer