Les années passent et les voitures deviennent de véritables ordinateurs roulants. Avec toujours plus de capteurs, de puces et de technologies embarquées, elles deviennent des cibles pour les hackers. On ne compte d'ailleurs plus les piratage de prises de contrôle à distance allant jusqu'à agir sur des fonctions vitales tels que les freins ou encore la direction. Si des efforts sont faits du côté des constructeurs, passer en revue les points faibles et les trous de sécurité des voitures n'est plus une option, aussi bien pour eux que les fournisseurs de produits et de services ciblant l'industrie automobile.
« La cybersécurité est un enjeu important pour le secteur automobile et le risque lié à une mobilité de plus en plus ouverte et connectée change la donne », nous a expliqué Helmi Rais, responsable des pratiques cybersécurité d'Expleo. « Bluetooth, WiFi, infotainment, position GPS, interactions avec l'UX et les feux de circulation sont des nouveaux vecteurs d'attaques ouvrant la fenêtre à plusieurs scénarios d'attaque ». Sans compter sur les évolutions réglementaires de plus en plus contraignantes imposant de monter d'un cran la sécurité des véhicules face aux cyberattaques, un créneau sur lequel s'est positionné la discrète ESN française Expleo.
La valise de test cybersécurité pour voitures d'Expleo contient du matériel dont les détails n'ont pas été fournis. (crédit : Expleo)
Des scénarios et différents registres d'attaques élaborés
La valise conçue par Expleo permet de réaliser des PoC d'exploits à des fin pédagogiques, de sensibilisation et de recherche, des tests de résilience cyber portant sur l'environnement du véhicule, ses composants matériels aussi bien que sa connectivité radio. « Ce laboratoire consolidé est aussi à la disposition des chercheurs pour évaluer la sécurité des connexions, des développeurs pour tester la résilience de leur codes et applications et être utilisé à des fins de formation », poursuit Helmi Rais. « On n'est pas obligé de rentrer dans des protocoles avec des processus spécifiques à respecter, les tests peuvent être réalisés directement sur le calculateur du véhicule ou un bus WiFi ».
Expleo a conçu plusieurs scénarios et registres d'attaques reposant sur du logiciel, un OS, un environnement matériel et un ensemble de protocoles adaptés en fonction des besoins. « Les tests sont customisés et peuvent être adaptés suivant les contextes », indique Helmi Rais. « Pour un test de crypto, nous pouvons récupérer le firmware du calculateur et enregistrer un backdoor dessus ». Pour des raisons de confidentialité, la société de services ne communique pas les détails hardware et software embarqués dans sa valise qui peut par ailleurs aussi servir à tester la sécurité des drones. Et pas non plus sur les tarifs. « On a de la chance que les constructeurs et les équipementiers ont un bon budget cybersécurité », lance Helmi Rais. Reste maintenant à savoir si ces derniers suivront.
Commentaire