Quelle confiance faire à la sécurité à bord des futures voitures connectées ?

Connectée, sûre & fiable : voilà en trois adjectifs l’automobile de demain. Pour satisfaire ces exigences, les constructeurs automobiles, les éditeurs de logiciels, les fournisseurs de composants électroniques et les architectes système doivent se décider à coopérer.

Interrogés quant à leur automobile du futur idéale, les conducteurs et leurs passagers expriment des exigences dont la liste est à la fois longue et précise. Ils souhaitent notamment une connectivité Internet en continu, l’accès en permanence à des données sur le trafic routier, et une intégration aussi étroite que possible entre le véhicule et leurs terminaux mobiles, et tout particulièrement leurs smartphones. Par ailleurs, on constate un intérêt croissant envers le concept qui vise à synchroniser les « Apps » et les données personnelles entre les smartphones et les systèmes embarqués à bord des automobiles. Le message est donc clair : les utilisateurs veulent pouvoir accéder à leurs données les plus importantes à tout moment et en tout lieu.
Alors que les automobiles modernes deviennent irrésistiblement d’une plus grande sophistication, le nombre de composants électroniques intégrés dans les véhicules continue d’augmenter. De nos jours, une voiture de milieu de gamme embarque en moyenne 70 microprocesseurs. Pour que ces circuits fonctionnent et effectuent les tâches qui leur sont assignées, il est nécessaire de déployer une centaine de millions de lignes de code sur une centaine d’ECU (unités de contrôle électronique), elles-mêmes réparties sur cinq réseaux différents dans le véhicule. Au vu de ces chiffres, le logiciel dans l’automobile joue donc un rôle particulièrement important et cette tendance ne va faire que s’accentuer. Selon certains experts, dans quelques années, la masse de logiciel embarqué dans les automobiles sera de 20 à 30 fois plus imposante que ce qu’elle est aujourd’hui.

La connectivité et les risques associés

Les constructeurs automobiles tentent de distinguer leurs modèles de ceux de la concurrence. Et ils peuvent tabler sur l’électronique et les systèmes d’info-divertissement embarqués dans les véhicules(IVI) pour faire la différence. Les constructeurs ont ainsi commencé à intégrer des points d’accès Wi-Fi dans les véhicules et à envisager la possibilité technique de communications autonomes entre automobiles.

Si l’utilisation de télécommandes s’est depuis longtemps banalisée auprès des possesseurs de véhicules, la popularité des smartphones en généralise irrésistiblement des déclinaisons beaucoup plus évoluées. Plusieurs modèles d’automobiles offrent déjà la possibilité de commander à distance l’allumage moteur, l’ouverture des portes ou l’allumage des phares avec un smartphone. Typiquement, dans de tels cas d’usage, l’accès à l’ordinateur de bord n’est autorisé qu’après introduction d’un code d’identification personnel PIN sur le téléphone mobile. Il n’est pas nécessaire que le smartphone soit dans le voisinage immédiat du véhicule ; les ordres de commande peuvent parfaitement être véhiculés à travers le réseau de télécommunication.

L’informatisation et la connectivité galopantes des automobiles apportent aux utilisateurs une plus grande commodité d’usage ainsi qu’un meilleur confort, mais elles augmentent aussi les risques et les dangers. Il suffit d’imaginer par exemple que des codes malicieux ou des programmes malveillants soient introduits via des fichiers musicaux MP3 ou des applications téléchargés dans le système IVI embarqué : les virus peuvent alors contaminer en toute discrétion le système de contrôle électronique du véhicule et provoquer des dysfonctionnements de certains équipements.

Des chercheurs de l’Université de Caroline du Sud et de l’Université Rutgers ont récemment réussi à prouver, entre autres choses, qu’un hackeur pouvait violer l’intimité des utilisateurs et suivre en continu le déplacement d’un véhicule sur de grandes distances en utilisant des technologies comme les tags d’identification radiofréquence RFID. Par ailleurs, en 2011 au Texas, un ex-employé mécontent a pu accéder à distance au système d’immobilisation des véhicules d’un concessionnaire automobile et empêcher plus d’une centaine de propriétaires d’automobiles de démarrer leurs voitures ou d’arrêter leurs klaxons.

Bien évidemment, les liaisons de communication sans fil comme Bluetooth ou Wi-Fi ne sont pas les seules voies potentielles d’intrusion et d’infiltration. Les délinquants informatiques peuvent mener des attaques dangereuses en pénétrant physiquement dans le véhicule et en accédant au réseau embarqué via l’interface de service de la console de bord. L’Université de Californie de San Diego et l’Université de Washington ont ainsi mis au point un programme du nom de CarShark qui démontre comment les hackeurs peuvent accéder à l’électronique embarquée via le réseau automobile CAN (Controller Area Network) et prendre le contrôle des freins, des serrures de portes ou d’autres équipements critiques.

Les solutions de sécurité
La connectivité étant synonyme de vulnérabilités potentielles, la sécurité est clairement une priorité de prime importance pour la voiture connectée. Les éléments à sécuriser dans une voiture connectée peuvent être répartis en quatre catégories :

  • Les communications câblées et sans fil, à l’instar des connexions pair-à-pair ou autres 
  • Le système IVI, grâce, notamment, au cryptage SSL
  • Les composants électroniques embarqués à bord du véhicule, tels que les capteurs et les ECU, grâce à la certification et la vérification des applications, la gestion à distance et la surveillance des virus et autres programmes malveillants
  • Les services, qu’ils soient développés par les constructeurs automobiles ou par des sociétés tierces parties, et notamment les applications (Apps) qui peuvent être téléchargées à partir du cloud

    Les solutions les plus performantes répondent à un ensemble de contraintes de sécurité qui dépendent de l’application ciblée et elles exigent une coopération étroite avec le constructeur automobile. Il suffit pour s’en rendre compte d’évaluer le parfait niveau de coordination qu’exige la gestion particulièrement complexe d’un ensemble de capteurs dans une automobile, comme le GPS et les divers capteurs de mouvement aptes à réagir à tout mouvement violent du véhicule.
     

A notre époque de connectivité généralisée et de banalisation des « App Stores», l’une des meilleures solutions de sécurité consiste à utiliser la virtualisation embarquée et les hyperviseurs. A titre d’exemple, Wind River Hypervisor permet la mise en place de partitions séparées grâce à la virtualisation qui, tout en garantissant leur exécution simultanée sur la même plate-forme matérielle (Figure 1), isole les éléments critiques en termes de sûreté fonctionnelle (les systèmes d’aide au stationnement ou l’accès aux fonctions du système de freinage par exemple) des composants qui ne nécessitent pas de certificats de sûreté (les applications de divertissement notamment).

Figure 1: Hyperviseur avec partition réservée à l’App Store

Parallèlement, afin de relever les défis que posent l’intrusion et la détection de virus, des spécialistes de la sécurité comme MacAfee ont commencé à développer et à adapter des solutions dédiées à l’environnement automobile.
« Les systèmes embarqués font désormais partie intégrante de notre vie quotidienne, de nos appareils électroménagers aux équipements de distribution d’eau ou d’électricité en passant par les automobiles. Le phénomène a fait exploser les menaces potentielles contre ce type de systèmes. Associés à un réseau global de renseignement sur les menaces réparti sur des millions de nœuds, les mécanismes de sécurité comme les listes blanches ou le contrôle de configuration deviennent d’implémentation obligatoire et non plus seulement facultative. McAfee s’est engagé à sécuriser les systèmes embarqués et à bâtir des solutions personnalisées adaptées au marché de l’automobile et aux secteurs situés au-delà de l’informatique traditionnelle. » – Stuart McClure, Chief Technology Officer, McAfee.
La disponibilité de microprocesseurs dotés de plusieurs cœurs permet aujourd’hui de concevoir de nouvelles architectures de systèmes IVI. En poussant cette approche un peu plus loin, il est envisageable de consolider les architectures matérielles par l’exécution simultanée, sur la même plate-forme, de plusieurs systèmes d’exploitation comme WinCE, VxWorks, Linux ou AUTOSAR. Dans ce cas, la protection des environnements est rendue possible par l’usage de la virtualisation embarquée et d’un hyperviseur, associée aux certifications appropriées (ISO 26262 par exemple). La généralisation des architectures multicœurs et de la virtualisation embarquée est synonyme d’une fiabilité améliorée, de temps de démarrage réduits et de coûts optimisés ; cette tendance ouvre également la voie à des cas d’usage et à des applications totalement inédits dans l’environnement automobile, car leurs déploiements sans l’aide d’une technologie d’hyperviseur s’avéraient jusqu’alors trop complexes.

Figure 2: Les processeurs multicœurs ouvrent la voie à une architecture IVI inédite

Par ailleurs, l’industrie automobile se tourne de plus en plus vers le système d’exploitation Android pour bénéficier de sa flexibilité garante d’innovation, notamment dans les domaines du multimédia et de la connectivité. L’électronique embarquée devient de ce fait une proie facile pour les hackeurs et les programmes malveillants. Certes, ce n’est pas dans l’immédiat que les automobilistes pourront accéder aux App Stores Apple ou Android Market dans leurs voitures. Mais de nombreux constructeurs automobiles travaillent déjà à la mise en œuvre de leurs propres applications afin d’attirer et de conserver leur clientèle.
Une autre mesure qui pourrait améliorer la sécurité dans le futur serait d’externaliser les fichiers sensibles dans le cloud et de télécharger contenus et données (fichiers musicaux, informations de navigation, etc.) uniquement lorsque cela s’avère nécessaire. Pour que ce scénario se concrétise, un certain nombre d’actions coordonnées doivent toutefois être menées conjointement par le secteur de l’électronique automobile et les comités de standardisation tels que GENIVI.

L’avenir
Les solutions de sécurité ont le pouvoir de protéger un système contre les seules menaces qu’ils sont censés effectivement contrer. Comme il est impossible d’assurer une protection à tout moment contre toutes les attaques envisageables, l’industrie s’intéresse de près à d’autres méthodologies de sécurisation. Des mécanismes logiciels ou matériels de « sandboxing » peuvent ainsi être mis en place pour protéger les composants embarqués contre les attaques malveillantes. La sécurité dans l’automobile peut également être renforcée par un contrôle systématique des fichiers avant qu’ils soient téléchargés du cloud, et ce afin de vérifier l’absence de virus et de programmes malveillants. De manière idéale, une solution complète doit prendre en considération non seulement les problématiques de sécurité liées aux services de cloud et aux liens de communication radio, mais également celles ayant trait à la sécurité des composants embarqués.
La sécurité est un concept à multiples facettes et exige la prise en compte d’éléments divers et variés. Au moment où l’industrie automobile se tourne irrésistiblement vers des experts qui appréhendent parfaitement les enjeux et sont capables d’assembler judicieusement tous ces éléments, les sociétés disposant à la fois de l’expertise, des technologies et de relations étroites avec les écosystèmes de l’embarqué et de l’automobile, à l’instar de Wind River, ont un rôle de plus en plus prépondérant à jouer.

Autour du même sujet