Véhicule connecté : la course à l'antivirus est lancée
Si elle devient un véritable ordinateur sur roues, la voiture en est d'autant plus vulnérable. Ses fonctions sont potentiellement contrôlables à distance depuis un simple ordinateur portable, comme l'ont prouvé des journalistes américains lors d'une expérience qui avait fait grand bruit en juillet 2015, et les données personnelles des automobilistes, si elles ne sont pas préservées, pourraient être vite récupérées à des fins commerciales. "Un véhicule embarque aujourd'hui une centaine de millions de lignes de code informatique, contre une cinquantaine de millions pour une machine qui tourne sous Windows. Il y a donc un véritable enjeu de sécurité dans l'automobile", affirme Laurent Hausermann, co-fondateur de Sentryo, start-up française spécialiste de la cybersécurité pour l'Internet industriel.
L'institut de recherche technologique SystemX vient de lancer le projet "Cybersécurité du transport intelligent" en partenariat avec PSA, Renault et Valeo
A tel point que l'institut de recherche technologique SystemX vient de lancer le projet "Cybersécurité du transport intelligent" en partenariat avec les constructeurs PSA et Renault ainsi que l'équipementier Valeo, notamment. Pendant quatre ans, les industriels partenaires de l'institut vont travailler main dans la main sur des solutions de sécurisation pour l'automobile, mais aussi l'aéronautique et le ferroviaire : "L'objectif est de protéger les données d'usage, venant de fonctionnalités telles que le GPS, l'air conditionné mais aussi le démarrage. Nous envisageons notamment l'utilisation de la cryptographie homomorphe, qui permet de faire des calculs sans déchiffrer les données, et donc en protégeant les données personnelles. Si à l'avenir un constructeur veut par exemple remplacer la traditionnelle clé de contact par de la reconnaissance faciale, l'image du conducteur authentifié ne sera jamais stockée telle quelle mais toujours chiffrée pour éviter qu'elle ne soit récupérée et réutilisée par un hacker. Cela pourrait se faire grâce à un hardware security module, une sorte de disque dur qui permet le stockage sécurisé d'informations", explique Paul Labrogère, directeur du programme transport autonome de SystemX.
Symantec, connu pour son antivirus Norton, s'est emparé du problème. Il a lancé en juin son logiciel Anomaly Detection for Automotive
Même le spécialiste américain de la sécurité informatique Symantec, connu pour son antivirus Norton, s'est emparé du problème. Il a lancé en juin 2016 son logiciel "Anomaly Detection for Automotive", et équipe déjà 10 millions de véhicules par an de ses trois premières solutions dédiées au marché automobile : "Au lieu de protéger chacun des modules au sein de la voiture, qui sont en moyenne 180, notre système surveille leurs interactions et repère les messages anormaux. Chaque information fiable est authentifiée par un certificat qui permet de la distinguer", détaille Brian Witten, directeur du développement IoT de Symantec.
"Il faut cependant faire attention aux faux-positifs, c'est-à-dire les messages non reconnus et jugés anormaux alors qu'ils viennent bien du constructeur. C'est pourquoi nous misons sur un système de liste blanche mis à jour en temps réel et qui apprend à reconnaître les informations authentiques", réagit David Barzilai, président et cofondateur du spécialiste israélien de la sécurité des véhicules connectés Karamba Security. Si cinq équipementiers ont déjà opté pour cette offre depuis son lancement au premier trimestre 2016, son compatriote Argus Cyber Security, qui propose le même type de service, enchaîne lui aussi les partenariats : "Nous avons désormais une équipe de recherche entièrement dédiée à la question, qui a déjà déposé pas moins de 14 brevets. Nous avons aussi ouvert des bureaux en Allemagne, au Japon, dans la Silicon Valley et même dans le Michigan pour répondre à la demande des grands constructeurs mondiaux", se réjouit Monique Lance, directrice marketing du spécialiste israélien de la cybersécurité.
"L'idée est d'offrir un système d'alerte connecté sur des flottes, où les messages anormaux sont signalés selon leur récurrence sur plusieurs véhicules"
Confidentialité oblige, aucun nom de constructeur ne filtre. Mais du côté de la start-up tricolore Sentryo, on peut déjà compter sur un soutien de poids : celui de l'allemand BMW, qui l'a sélectionné parmi les lauréats de son Tech Date en juin 2016. Créée en 2014, elle s'occupait d'abord de la sécurité des logiciels de surveillance du traitement des eaux, des installations nucléaires ou encore des centrales d'EDF avant de se tourner récemment vers l'automobile : "Ses équipes ont été séduites par l'adaptation à l'automobile de notre solution ICS CyberVision, qui peut surveiller tout ce qui se passe au sein des réseaux critiques qui pilotent les éléments vitaux du véhicule (embrayage, freinage, etc.) et détecter les anomalies grâce au machine learning. L'idée est d'offrir aux constructeurs un système d'alerte connecté sur des flottes, où les messages anormaux seraient signalés selon leur récurrence sur plusieurs véhicules équipés", explique Laurent Hausermann.
"Nous travaillons aussi sur les échanges vehicle-to-vechicle et vehicle-to-infrastructure car la voiture intelligente s'inscrit dans une problématique de sécurité routière. A l'avenir, la transmission des données de vitesse entre véhicules coopératifs pourra par exemple permettre de réduire l'accidentologie et un système de certificats permettrait de les authentifier. On peut aussi imaginer une gestion automatique des carrefours mais il ne faudrait pas qu'un petit malin se fasse passer pour le feu rouge du coin pour créer des accidents. Dans ce cas il sera nécessaire de créer des certificats pour reconnaître ce que l'on appelle les public key infrastructures", imagine Paul Labrogère.
"Les certificats concerneront à terme des dizaines de millions de véhicules et ils devront être temporaires pour empêcher tout traçage des automobilistes"
Mais un problème de taille se pose, selon le spécialiste de SystemX : "Les certificats concerneront à terme des dizaines de millions de véhicules et ils devront être temporaires pour empêcher tout traçage des automobilistes. Cela représente plusieurs milliers d'échanges par seconde pour chaque véhicule, et donc des technologies complexes à mettre en place. Il faut maintenant trouver un modèle économique viable sans oublier que la sécurité n'est pas un luxe et qu'elle doit rester accessible à tous."