lassedesignen - Fotolia
L’automobile prépare sa révolution de la cybersécurité
Des pratiques de référence viennent d’être publiées, outre Atlantique, à l’intention des constructeurs. Plusieurs ont déjà lancé des programmes d’incitation à la détection de vulnérabilités.
C’est en juillet 2015 que les constructeurs automobiles, rassemblés au sein de l’Auto Alliance, ont annoncé l’Auto ISAC, une entité dédiée à la centralisation de renseignements sur les menaces informatiques affectant des véhicules de plus en plus connectés, ainsi que leur analyse. Et il y avait urgence : quelques jours plus tard, deux chercheurs en sécurité montraient comment prendre le contrôle complet, à distance, d’une Jeep Cherokee. Quelques mois plus tôt, BMW avait reconnu et corrigé une faille permettant de voler ses voitures connectées.
Aujourd’hui, et après avoir publié en janvier un framework de la cybersécurité de l’automobile connectée, l’Auto ISAC vient de publier ses pratiques de référence en la matière. Celles-ci couvrent autant des aspects techniques qu’organisationnels, avec « gouvernance, gestion du risque, sécurité à la conception, détection de menaces, réponse aux incidents, formation et collaboration avec les tiers appropriés ». L’industrie automobile ne cherche pas à réinventer la roue et précise que son recueil de bonnes pratiques « intègre des concepts d’autres standards et frameworks créés par le NIST, l’ISO, SAE International et d’autres organisations ».
Ceux-ci sont notamment mis à profit pour le volet intégration de la sécurité dès la conception. En la matière, les recommandations portent aussi bien sur la limitation « des interactions réseau » et la garantie « d’une séparation appropriée des environnements », que sur le test de vulnérabilités logicielles ou encore « l’authentification et la validation de toutes les mises à jour logicielles, quelle que soit la méthode de mise à jour ». L’Auto ISAC recommande en outre de « supporter la détection d’anomalies pour les systèmes opérationnels des véhicules, les services de véhicules, et autres fonctions connectées, en tenant compte de la confidentialité ».
Cette initiative apparaît plus que jamais nécessaire. Deux vulnérabilités ont été récemment identifiées dans des applications en ligne liées aux véhicules connectés de BMW. Pen Test Partners a de son côté découvert que le point d’accès WiFi du Mitsubishi Outlander était par défaut configuré de manière peu robuste.
Et chez Eset, Stephen Cobb se penche sur la perspective – pour l’heure théorique – d’éventuels jackwares, des « logiciels malveillant qui cherchent à prendre le contrôle d’un appareil dont la fonction première n’est pas le traitement de données ni les communications numériques. Une voiture serait un tel appareil ».
Mais les constructeurs eux-mêmes commencent à multiplier les initiatives pour renforcer la sécurité des systèmes connectés de leurs véhicules. Tesla avait ouvert la marche en lançant son programme de bug bounty en juin 2015. General Motors a lancé le sien sur HackeOne en janvier dernier. Fiat Chrysler vient, aux Etats-Unis, de lancer à son tour un tel programme, proposant jusqu’à 1500 $ par bug, « suivant l’impact et la sévérité ».