Dans une lettre publiée pendant la conférence DefCon 22 qui s'est tenue du 7 au 10 août à Las Vegas, un collectif de chercheurs en sécurité a notamment exhorté l'industrie automobile à adopter plusieurs mesures pour améliorer la sécurité des systèmes informatiques embarqués dans les véhicules. Le groupe, qui signe son message par « I Am The Cavalry », réunit des chercheurs et d'autres personnes préoccupées par la sécurité des terminaux pouvant avoir un impact direct sur la sécurité des utilisateurs. Ces dernières années, de plus en plus de chercheurs en sécurité se sont penchés sur les vulnérabilités potentielles des dispositifs électroniques embarqués dans les véhicules les plus récents. Ces systèmes sont capables de tout contrôler, depuis les outils de divertissements jusqu'aux fonctions de sécurité critiques comme le freinage, la direction et l'éclairage.
Alors que les constructeurs se dépêchent d'introduire le sans fil dans certains systèmes embarqués afin de les connecter aux téléphones mobiles et donc à Internet, certains s'inquiètent que des vulnérabilités potentielles, plus la porosité des réseaux automobiles internes, puissent exposer ces véhicules au piratage à distance et mettre les conducteurs en danger. Mercredi dernier, lors de la conférence Black Hat sur la sécurité, les chercheurs Charlie Miller et Chris Valasek ont présenté leurs conclusions sur les surfaces d'attaque sans fil de 24 modèles de voitures de plusieurs constructeurs. Selon leurs résultats, l'Infiniti Q50 et la Jeep Grand Cherokee, sorties en 2014, ainsi que la Cadillac Escalade, attendue pour 2015, sont les véhicules les plus exposés au piratage.
Utiliser des mécanismes d'isolement physiques
Dans sa lettre ouverte à l'industrie automobile, le collectif « I Am The Cavalry » a exhorté les constructeurs automobiles à mieux prendre en compte la sécurité de leurs systèmes informatiques dès la phase de conception. « Les réseaux informatiques embarqués devraient utiliser des mécanismes d'isolement et de segmentation pour faire en sorte que les systèmes non critiques ne puissent pas influencer la performance des systèmes critiques », a écrit le groupe. « Cette segmentation devrait être physique et ne pas passer par des contrôles logiques. Des recherches passées ont déjà montré que l'isolement logique pouvait souvent être contourné », a déclaré Joshua Corman, CTO de Sonatype et co-fondateur du collectif « I Am The Cavalry ».
« Les constructeurs automobiles devraient également être capables de déployer facilement les mises à jour de sécurité pour leurs systèmes informatiques sans avoir à rappeler les véhicules », préconise encore le collectif dans sa lettre ouverte. Enfin, au cas où quelque chose se passerait vraiment mal et qu'une enquête serait nécessaire, les systèmes automobiles devraient être protégés par des identifiants de façon à conserver la preuve de l'évènement. Les constructeurs automobiles devraient aussi encourager la collaboration avec des tiers en adoptant des politiques claires de divulgation des vulnérabilités et permettre aux chercheurs en sécurité d'en assurer le suivi. « Le constructeur Tesla Motors a déjà adopté ce genre de politique, mais d'autres devraient suivre », a indiqué le groupe. Les membres de « I Am The Cavalry » souhaiteraient apporter leur expertise technique à diverses industries et institutions juridiques à titre de service public, mais ils invitent également les utilisateurs à participer à cet effort. La lettre du collectif a également été publiée sous forme de pétition sur le site Change.org.
Etablir des liens entre chercheurs, industrie et gouvernements
Le groupe n'est pas uniquement axé sur la sécurité des systèmes informatiques embarqués dans les véhicules. En effet, il s'est intéressé à d'autres types de terminaux pouvant avoir un impact sur la vie humaine : les appareils médicaux comme les systèmes implantables, de diagnostic, d'imagerie et de radiologie ; les appareils domestiques, aussi bien l'électronique grand public, que les systèmes d'alarme, de verrouillages de portes, les thermostats et les systèmes de chauffage et de ventilation ; certains systèmes utilisés dans les infrastructures publiques, dans les avions, les transports publics, l'énergie et l'électricité, l'aviation, la surveillance du trafic automobile, et d'autres services, comme le ramassage des ordures ménagères et la gestion des eaux usées.
Pendant la conférence Defcon 22, les co-fondateurs Joshua Corman et Nicolas Percoco, par ailleurs vice-président des services stratégiques chez Rapid7, ont fait un rapide bilan de la première année d'activité du groupe et de ses stratégies en faveur de la sécurité des terminaux critiques. « Cette initiative n'a pas uniquement pour objectif de trouver des bugs », a déclaré Joshua Corman. « Il s'agit surtout d'établir des liens entre les chercheurs, l'industrie et les institutions gouvernementales, ce qui est beaucoup plus difficile », a-t-il déclaré.
Defcon : Un collectif exhorte l'industrie automobile à sécuriser les systèmes embarqués
0
Réaction
Selon le collectif qui se fait appeler « I Am The Cavalry », les systèmes qui font tourner les appareils médicaux, les terminaux pour la maison, les systèmes embarqués dans les automobiles et ceux des infrastructures publiques doivent être mieux protégés contre les cyberattaques.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire