Voitures Autonomes & Cyber-Risques
L’avènement des voitures autonomes, transformant notre façon de se déplacer, s’accompagne d’une nouvelle réalité : la cybercriminalité automobile.
L’avènement des voitures autonomes, qui promettent de transformer notre façon de se déplacer, s’accompagne d’une nouvelle réalité : la cybercriminalité automobile.
Ces véhicules, dotés d’une intelligence artificielle sophistiquée et connectés en permanence à internet, deviennent des cibles de choix pour les pirates informatiques. La sécurité et la responsabilité de ces technologies deviennent alors des questions centrales.
Les différents Cyber-Risques
Piratage des systèmes de navigation
GPS spoofing
Un pirate informatique peut être capable de falsifier les signaux GPS reçus par une voiture autonome. Il pourrait induire en erreur sur la position réelle de la voiture, la conduisant vers une destination erronée ou dangereuse.
Attaques par rejeu
Un pirate peut intercepter et rediffuser des signaux GPS pré-enregistrés, forçant une voiture à suivre un itinéraire prédéfini non-souhaité.
Manipulation des capteurs
Falsification des données
Un pirate peut injecter des informations erronées dans les capteurs de votre voiture autonome, perturbant sa perception de l’environnement.
Il pourrait simuler la présence d’obstacles inexistants, comme un mur ou un autre véhicule, provoquant un freinage d’urgence intempestif.
Il pourrait, également, supprimer des signaux importants, comme un feu rouge ou un piéton traversant la route, conduisant à une situation dangereuse.
Attaques par « deepfakes »
Des images ou vidéos réalistes peuvent être utilisées pour tromper les capteurs de la voiture, la conduisant à une interprétation erronée de l’environnement.
Infiltration des logiciels
Malware et virus
Des logiciels malveillants peuvent infecter le système d’une voiture autonome, perturbant son fonctionnement et provoquant des dysfonctionnements critiques.
Par exemple, un virus qui s’attaque au système de freinage d’une voiture, le rendant inopérant. Cela pourrait mettre la vie du conducteur et celle des autres en danger en cas de situation d’urgence.
Mises à jour logicielles compromises
Des pirates peuvent diffuser de fausses mises à jour logicielles contenant des logiciels malveillants, prenant le contrôle d’une voiture.
Imaginez une mise à jour logicielle qui semble provenir du constructeur automobile, mais qui est en réalité corrompue. Une fois installée, elle pourrait permettre aux pirates de verrouiller les portes, désactiver les freins, ou même prendre le contrôle complet de la direction, mettant en danger votre vie et celle des autres usagers de la route.
Attaques DDoS : Déni de Service
Saturation du système de communication
Un pirate peut submerger votre voiture autonome de faux messages, l’empêchant de recevoir des informations vitales pour la conduite.
Désactivation des fonctionnalités critiques
Des attaques peuvent cibler des systèmes spécifiques d’une voiture, comme le freinage d’urgence automatique ou la direction assistée, les rendant inopérants.
Vol de données personnelles
Collecte et stockage de données sensibles
Les voitures autonomes collectent une grande quantité de données sur les passagers, leurs trajets et l’environnement, attirant les pirates à la recherche d’informations sensibles.
Ces données peuvent inclure des informations personnelles comme les :
- Noms.
- Adresses.
- Numéros de téléphone.
- Habitudes de conduite.
- Conversations privées captées à l’intérieur du véhicule.
Cyber-espionnage et profilage
Les données volées peuvent être utilisées pour espionner les utilisateurs, les suivre à leur insu ou leur proposer des publicités ciblées. Le profilage des conducteurs peut également être utilisé pour les manipuler ou les discriminer en fonction de leurs habitudes de conduite ou de leur localisation.
Ces typologies de cyber-risques mettent en évidence la nécessité de développer des mesures de sécurité robustes pour protéger les voitures autonomes et leurs utilisateurs.
Conséquences potentielles des cyber-risques des véhicules autonomes
Les cyber-risques liés aux véhicules autonomes peuvent avoir des conséquences graves et variées, impactant non seulement les passagers et les autres usagers de la route, mais aussi l’industrie automobile et la société dans son ensemble.
Mises en danger de la vie
Accidents graves, blessures et décès
Le piratage d’un véhicule autonome peut causer des accidents graves, blessant ou tuant les passagers, les conducteurs d’autres véhicules et les piétons.
Détournements de véhicules et vols
Des pirates peuvent détourner des véhicules autonomes pour les utiliser à des fins illégales, comme le transport de drogue ou d’armes, ou pour commettre des attentats.
Le vol de véhicules autonomes pourrait également devenir un problème majeur, avec des implications économiques et sécuritaires importantes.
Perturbations du trafic et embouteillages
Des attaques coordonnées contre les infrastructures de transport et les systèmes de communication pourraient causer des embouteillages massifs et paralyser la circulation dans les villes.
Les perturbations du trafic et les embouteillages causés par des cyberattaques peuvent avoir un impact économique important, en réduisant la productivité, en augmentant les coûts de transport et en perturbant la chaîne d’approvisionnement.
De plus, l’impact social peut être significatif, en limitant la liberté de mouvement des personnes et en créant un sentiment d’insécurité.
Dénigrement de l’image des constructeurs automobiles et des technologies autonomes
Perte de confiance des consommateurs
Si les cyber-risques ne sont pas pris en compte, les consommateurs pourraient perdre confiance dans les véhicules autonomes et freiner l’adoption de cette technologie.
Imaginez une série d’accidents graves causés par des piratages de voitures autonomes. La confiance du public dans cette technologie et / ou dans la marque liée à ces cyber-attaques serait alors gravement compromise.
Frein à l’innovation et au développement
La peur des cyberattaques pourrait freiner l’investissement dans les technologies autonomes et ralentir le développement de cette industrie prometteuse.
Les constructeurs automobiles pourraient être réticents à investir dans des technologies qui ne sont pas perçues comme sûres par le public.
Vulnérabilités accrues et risques systémiques
Les véhicules autonomes sont de plus en plus connectés entre eux et aux infrastructures routières, ce qui crée une interdépendance qui peut être exploitée par les pirates.
De plus, la nature cybernétique des véhicules autonomes les rend vulnérables aux attaques à grande échelle, qui pourraient toucher un grand nombre de véhicules simultanément.
Exemples de cyber-incidents sur les voitures autonomes
Piratage à distance d’une Jeep Cherokee
En juillet 2015, Miller et Valasek ont démontré leur capacité à pirater à distance une Jeep Cherokee 2014 via Internet.
Ils ont exploité des vulnérabilités logicielles dans le système d’infodivertissement Uconnect de la voiture pour prendre le contrôle de plusieurs fonctions critiques, notamment :
- Le système de climatisation : Ils ont pu modifier la température et la ventilation à l’intérieur de la voiture.
- Le système audio : Ils ont pu changer de station de radio et diffuser de la musique à leur guise.
- Le freinage : Ils ont pu ralentir et même arrêter la voiture à distance.
Les étapes du piratage
- Infiltration du réseau interne de Fiat Chrysler Automobiles (FCA) : Les chercheurs ont d’abord piraté le réseau interne de FCA pour obtenir des informations sensibles sur les systèmes informatiques des véhicules.
- Exploitation d’une vulnérabilité du système Uconnect : Ils ont ensuite exploité une vulnérabilité logicielle dans le système Uconnect pour s’infiltrer dans le réseau interne de la Jeep.
- Prise de contrôle des fonctions critiques : Une fois connectés au réseau interne, ils ont pu prendre le contrôle de plusieurs fonctions critiques de la voiture via des messages CAN (Controller Area Network).
Piratage des systèmes de navigation de Tesla
En juin 2019, des experts de Regulus Cyber ont réussi à pirater le système de navigation GPS d’une Tesla Model 3, démontrant la vulnérabilité de ces technologies.
Le piratage en question a permis aux chercheurs de :
- Détourner le système de navigation de la voiture : En envoyant de faux signaux GPS, ils ont pu forcer la voiture à se diriger vers une destination différente de celle choisie par le conducteur.
- Suivre la localisation du véhicule en temps réel : Cette capacité soulève des inquiétudes concernant la confidentialité et la sécurité des conducteurs.
- Modifier l’itinéraire du véhicule à leur guise : Imaginez les implications malveillantes de cette capacité, comme la redirection d’un véhicule vers une zone dangereuse.
- Désactiver l’autopilotage : Bien que cela puisse être considéré comme une mesure de sécurité pour contrer un piratage en cours, cela souligne également la dépendance croissante aux systèmes automatisés et les risques potentiels associés à leur défaillance.
Piratage du système Autopilot de Tesla
Fin 2023 (CyberNews Décembre 2023), trois chercheurs allemands ont publié un article dans le journal allemand Der Spiegel détaillant comment ils avaient réussi à pirater le système d’assistance à la conduite Autopilot de Tesla. Les chercheurs ont déclaré qu’ils avaient pu accéder au système en utilisant un outil de « glitch de tension », qui consiste à appliquer une forte variation de tension à un processeur pendant une courte période de temps. Cette défaillance provoque une faille permettant de s’introduire dans le système protégé et ainsi d’accéder à ses entrailles.
Les chercheurs ont pu confirmer l’existence d’un mode débridé de l’Autopilot, baptisé « Executive Mode », qui permet aux véhicules Tesla de dépasser les limites de vitesse et d’autonomie imposées par le mode standard. Le mode débridé est réservé à Elon Musk et à ses invités, et il n’est pas disponible pour les propriétaires de Tesla ordinaires.
Les chercheurs ont déclaré qu’ils avaient découvert le mode débridé en examinant les données récupérées du système Autopilot. Ils ont trouvé des références au mode dans le code source du système, ainsi que des instructions sur la façon de l’activer.
La découverte des chercheurs soulève des questions sur la sécurité du système Autopilot. Si un attaquant peut accéder au système, il pourrait potentiellement activer le mode débridé sur un véhicule Tesla ordinaire, ce qui pourrait entraîner des risques de sécurité.
Lutter contre les cyber-risques des voitures autonomes
Normes & Règlementations
Établissement de normes de cybersécurité obligatoires pour les constructeurs automobiles
- Définition de exigences minimales de sécurité pour les véhicules autonomes en matière de conception, de développement et de production.
- Inclusion de tests de cybersécurité obligatoires dans les processus de certification des véhicules.
- Harmonisation des normes internationales pour garantir la sécurité des véhicules à l’échelle mondiale.
Certification des logiciels et systèmes informatiques embarqués
- Mise en place de programmes de certification pour les logiciels et systèmes critiques des véhicules autonomes.
- Evaluation de la sécurité et de la fiabilité des composants par des organismes indépendants.
- Attribution de labels de sécurité aux produits certifiés pour informer les consommateurs.
Coopération internationale entre les gouvernements et les acteurs de l’industrie automobile
- Partage d’informations et de meilleures pratiques en matière de cybersécurité automobile.
- Mise en place de collaborations internationales pour la recherche et le développement de solutions de sécurité innovantes.
- Coordination des efforts pour lutter contre les cybermenaces transnationales.
Responsabilité et sanctions des constructeurs en cas de piratage
- Mise en place de lois et de réglementations qui définissent la responsabilité des constructeurs en cas de cyberattaque.
- Application de sanctions dissuasives en cas de manquement aux obligations de sécurité.
- Incitation des constructeurs à investir dans la cybersécurité pour minimiser les risques.
Sensibilisation et éducation des utilisateurs
Formation des conducteurs aux risques et aux bonnes pratiques
- Mise à disposition de supports de formation et d’information sur les cyber-risques liés aux véhicules autonomes.
- Organisation de sessions de sensibilisation pour les conducteurs et les professionnels de l’automobile.
- Intégration de modules de formation sur la cybersécurité dans les programmes d’éducation routière.
Diffusion d’informations claires et accessibles au public
- Communication transparente de la part des constructeurs sur les mesures de sécurité mises en œuvre.
- Publication de rapports et d’analyses régulières sur les cyber-risques et les incidents de sécurité.
- Utilisation de canaux de communication accessibles et compréhensibles par le grand public.
Promotion d’une culture de cybersécurité collective
- Encouragement des utilisateurs à signaler les activités suspectes aux constructeurs et aux autorités.
- Création d’une communauté active de chercheurs et d’experts en cybersécurité automobile.
- Organisation de campagnes de sensibilisation pour promouvoir les bonnes pratiques de sécurité numérique.
Renforcement de la sécurité
Chiffrement des données et protocoles de communication sécurisés
- Implémentation de technologies de cryptage robustes pour protéger les données sensibles transmises entre les véhicules, les infrastructures et les serveurs.
- Utilisation de protocoles de communication sécurisés comme HTTPS et TLS pour garantir la confidentialité et l’intégrité des échanges.
- Adoption de normes de sécurité internationales comme ISO/IEC 27001 et NIST.
Authentification forte et contrôle d’accès aux systèmes informatiques
- Mise en place d’une authentification multi facteur pour les utilisateurs et les appareils qui accèdent aux systèmes critiques.
- Utilisation de solutions biométriques comme la reconnaissance faciale ou l’empreinte digitale pour renforcer la sécurité des accès.
- Application du principe du moindre privilège pour limiter les droits d’accès aux systèmes et aux données en fonction des besoins de chaque utilisateur.
Mise à jour régulière des logiciels et systèmes d’exploitation
- Déploiement rapide des correctifs de sécurité pour les vulnérabilités connues.
- Mise à jour régulière des logiciels et systèmes d’exploitation pour maintenir un niveau de sécurité optimal.
- Automatisation des processus de mise à jour pour garantir la rapidité et l’efficacité du déploiement des correctifs.
Séparation des réseaux embarqués
- Mise en place de réseaux virtuels distincts pour les différents composants du véhicule (systèmes de conduite, infodivertissement, communication, etc.).
- Isolation des systèmes critiques pour limiter l’impact d’une attaque sur un seul réseau.
- Utilisation de pare-feu et de technologies de segmentation du réseau pour renforcer la sécurité.
Développement de l’intelligence artificielle défensive
- Intégration d’algorithmes d’apprentissage automatique pour détecter les anomalies et les comportements suspects.
- Utilisation de l’IA pour analyser les données en temps réel et identifier les menaces potentielles.
- Mise en place de systèmes de réponse automatique aux incidents pour limiter les dommages causés par une attaque.
Tests d’intrusion et audits de sécurité informatique
- Réalisation régulière de tests d’intrusion (ou Pentest) par des experts en cybersécurité pour identifier les vulnérabilités du système.
- Conduite d’audits de sécurité informatique pour évaluer la conformité aux normes et bonnes pratiques de sécurité.
- Correction des vulnérabilités identifiées en priorité pour minimiser les risques d’exploitation.
Je ne conduis pas je n’ai pas le permis mais tout ce que je peux dire c’est que le tiers des automobilistes que je croise qui ne sont pas forcément des chauffards mais qui conduisent très mal ont le qi d’une IA façon de parler en faisant le jeu de la voiture autonome. S’il n’y a pas de bonne politique de sécurité routière comme des passages cloutés des signalisations à Led et des chicanes à l’intérieur des villes, alors le véhicule autonome qui est tout sauf souhaitable à grande échelle surtout à niveau 4 et 5 a malheureusement de beaux jours devant lui…