Miser sur l'infrastructure PKI et la gestion des identités pour sécuriser le secteur automobile

En 2023, l'infrastructure PKI continue à faire irruption au cœur même du discours des entreprises en se présentant comme un investissement stratégique.

Les véhicules automobiles sont de plus en plus complexes et connectés. Les nouveaux modèles peuvent embarquer jusqu’à 300 millions de lignes de code et plus de 150 unités de contrôle électronique (ECU) qui communiquent intelligemment les unes avec les autres. Par ailleurs, ces véhicules peuvent communiquer avec des systèmes externes, de véhicule à véhicule (V2V), du véhicule au réseau électrique (V2G), du véhicule aux infrastructures routières (V2I), etc., créant un écosystème V2X aux utilisations ciblées se diversifiant sans cesse. Un véhicule ne peut plus être considéré comme un simple moyen de transport nous amenant du point A au point B. Il faut le considérer comme un appareil interconnecté intelligent : un équipement IoT qui est lui-même le réseau d’autres équipements IoT. 

La sécurité automobile est un perpétuel défi. Tous les composants du véhicule doivent être sûrs, au même titre que les communications vers ces composants, les mises à jour du firmware et des logiciels ou « l’info-divertissement », sans oublier les connexions V2V de demain. Pour garantir cette sécurité, chaque équipement a besoin d’une identité, et chaque identité doit être gérée.  

Nous savons combien les conséquences d’une sécurité insuffisante peuvent être catastrophiques. En 2015, une Jeep a pu être piratée à distance alors qu’elle roulait sur l’autoroute. Depuis peu, plusieurs compagnies d’assurance refusent de couvrir certains modèles des marques Kia et Hyundai qui sont trop faciles à voler

Voici les les principales difficultés propres au secteur automobile et les esquisses de solutions. 

Communication automobile 

  • Dans l’habitacle : la chaîne logistique automobile

Les véhicules sont constitués de multiples ECU et composants qui, pour la majorité d’entre eux, ne sont pas fabriqués par le constructeur automobile, mais par un équipementier de premier rang. Cette situation engendre différentes problématiques, puisque les constructeurs automobiles doivent désormais disposer de procédures de sécurité pour gérer des identités qu’ils n’ont pas créées, ou alors d’une infrastructure pour créer ces identités et les rendre accessibles à divers fournisseurs de premier rang.  

À chaque sous-système intelligent qui vient s’ajouter, la surface d’attaque accessible aux acteurs malveillants s’étend. Sachant que les systèmes sont connectés dans l’habitacle du véhicule, il existe de multiples accès aux systèmes stratégiques (moteur, direction assistée ou freins). Une vulnérabilité dans un système connecté peut générer un effet en cascade sur d’autres. D’où la nécessité d’une étroite relation de confiance entre le constructeur automobile et ses équipementiers de premier rang et, par contrecoup, leurs fournisseurs.  

  • Applications V2X actuelles et futures

Réseaux informatique et électrique, équipements, infrastructure, autres véhicules… Le nombre « d’objets » avec lesquels un véhicule peut se connecter ne cesse de se multiplier. Comme pour les mises à jour logicielles à distance (OTA, pour « Over-the-Air »), chaque connexion est l’occasion, pour un acteur malveillant, d’intercepter, de déchiffrer et de modifier les données et commandes transmises au sein de cet écosystème.  

Les normes représenteront un élément clé pour l’avenir, même si elles sont parfois en retard par rapport aux développements technologiques. De plus, il est nécessaire pour les constructeurs exerçant leurs activités à l’international de se conformer à des normes concurrentes. Aux États-Unis par exemple, les constructeurs doivent se préparer à la norme IEEE 1609.2, tandis qu’en Europe, C-ITS leur imposera des obligations différentes, sachant que les deux côtés de l’Atlantique seront concernés par les réglementations UNECE 155 et 156. En d’autres termes, tout système de sécurité mis en œuvre aujourd’hui doit être suffisamment souple et évolutif pour composer avec un futur encore indéterminé. 

  • Mises à jour des logiciels et du firmware

Aussi rigoureux que soient les développeurs et indépendamment du type de processus d’assurance qualité mis en place, les logiciels et le firmware doivent être mis à jour et entretenus. Sur des véhicules, cette opération peut être réalisée via une connexion physique dans une concession agréé ou via une mise à jour OTA, comme sur un smartphone. En théorie, la tâche est simple : le véhicule se connecte au réseau ou au dispositif du constructeur chez le concessionnaire, télécharge la mise à jour puis l’applique.  

Mais comment le véhicule sait-il si cette mise à jour est légitime et non malveillante ? Que ce soit par le biais d’une connexion à distance piratée ou d’une mise à jour physique directe, un nouveau code peut être injecté dans le véhicule, et permettre son téléguidage, déclencher des fuites de données, voire des ransomwares. Avant d’être installées, les mises à jour des logiciels et du firmware doivent pouvoir prouver leur légitimité. 

La sécurité dès le départ

Le meilleur moyen de se préparer à l’incertitude entourant les normes et des nouvelles technologies de demain consiste à mettre en œuvre, dès aujourd’hui, un système souple et évolutif. Cela commence au niveau du code. 

  • Signature de code

La mise en œuvre d’un procédé de signature de code adapté est fondamentale pour sécuriser les mises à jour, et peut être une arme ultime contre une attaque malveillante.  

En cas de communication non autorisée, dans le cadre d’une connexion à distance ou physique, les contrôles associés à la signature de code ajoutent une couche de sécurité. À partir de là, l’acteur malveillant doit non seulement se voir octroyer un accès à la communication, mais aussi disposer d’un certificat de signature émis par les développeurs du logiciel/firmware. Un système correctement conçu rejettera le logiciel et déclenchera des notifications d’alerte en cas d’envoi de code non signé.  

L’utilisation d’une solution de signature de code et la protection adéquate de ses certificats de signature compliquent énormément l’insertion de code malveillant par un pirate. 

  • Émission d’identités pour les équipements

La caractéristique  d’une communication sécurisée est que chaque équipement possède une identité digne de confiance et vérifiable. Cette identité se présente le plus souvent sous la forme d’un certificat signé. Avec une technologie PKI adaptée, les constructeurs automobiles peuvent émettre des identités à destination de l’ECU principalement utilisée pour les applications de communication et, en partenariat avec leurs équipementiers de premier rang, vers toutes les ECU embarquées dans le véhicule.  

  • Gestion des identités des équipements

Dans le cas peu probable d’une falsification d’un certificat racine, une gestion automatisée du cycle de vie des certificats est impérative. Elle permet la révocation en masse des certificats corrompus et l’identification des équipements qui ne sont pas forcément en ligne, mais qui devront être gérés lors de la communication suivante.