Vidéo: Fiabilité des voitures : nos avis, nos conseils, nos choix – PODCAST (Novembre 2024)
Un groupe de chercheurs en sécurité déterminés à faire du monde physique un endroit plus sûr a demandé aux constructeurs automobiles de construire des voitures conçues pour résister aux cyberattaques.
Le groupe, avec le surnom de "Je suis la cavalerie", a publié une lettre ouverte à "PDG de l'industrie automobile" par l'intermédiaire de Reuters, en a publié une copie sur son site Web et a lancé une pétition sur change.org, invitant les dirigeants de l'industrie automobile à mettre en œuvre ses cinq Programme de cybersécurité Star Automotive. Les piliers du programme incluent la sécurité dès la conception, la collaboration avec des tiers, la capture de preuves, les mises à jour de sécurité, la segmentation et l'isolement.
"Le monde jadis distinct de l'automobile et de la cybersécurité est entré en collision", lit-on dans la lettre. "Le moment est venu pour l'industrie automobile et la communauté de la sécurité de se connecter et de collaborer."
Les ordinateurs gèrent les moteurs, les freins, la navigation, la climatisation, les essuie-glaces, les systèmes de divertissement et d’autres composants essentiels et non essentiels des voitures modernes. Il n’est pas contesté qu’elles doivent être verrouillées pour empêcher toute altération ou accès non autorisé. Quiconque a vu l'an dernier la vidéo des chercheurs Charlie Miller et Chris Valasek craquer maniablement en arrière-plan, alors qu'ils prenaient le contrôle de la voiture conduite par l'écrivain de Forbes, Andy Greenberg, conviendra que si l'adversaire était suffisamment motivé, cette personne pourrait graves, physiques, préjudices aux conducteurs, et potentiellement aux passagers. Miller et Valasek étaient chez Black Hat cette année pour présenter plus de piratages de voiture. Cette année, DEF CON organise plusieurs sessions sur le piratage de produits électroniques grand public, de dispositifs médicaux, de systèmes de contrôle de la circulation et d'Internet des objets.
Les véhicules sont des "ordinateurs sur roues", Josh Corman, CTO de Sonatype et cofondateur du groupe. La lettre ouverte du groupe est conçue pour rendre ces ordinateurs plus sûrs.
Le programme cinq étoiles
La sécurité par conception signifie simplement que les constructeurs automobiles doivent concevoir et construire des fonctions d'automatisation dans un souci de sécurité. Les constructeurs automobiles devraient également impulser un programme de développement logiciel sécurisé au sein de leurs entreprises afin d'encourager de meilleures pratiques de codage et de conception.
La collaboration avec des tiers demande aux constructeurs d’automobiles d’établir un programme officiel de divulgation des vulnérabilités, afin d’indiquer clairement quelles sont ses règles et qui contacter. Les constructeurs automobiles doivent être prêts à travailler avec les chercheurs pour identifier les failles. Les constructeurs automobiles ne trouveront aucun moyen de réparer et de réparer eux-mêmes les bogues. C'est pourquoi une collaboration saine avec les chercheurs est essentielle. Il y a moins de chance que des choses soient manquées.
"Tesla a déjà une étoile", a déclaré Corman, soulignant que le constructeur de voitures électriques avait récemment mis en place une telle politique.
Evidence Capture veut ajouter une "boîte noire" aux voitures, un peu comme ce qui existe déjà dans les avions. Lorsque les avions s’effondrent, les enquêteurs peuvent analyser la boîte noire et comprendre ce qui se passe dans l’avion, notamment les conversations, la vitesse de l’avion, le statut de divers systèmes et une multitude d’informations techniques. Lorsque quelque chose ne va pas dans une voiture, dans la plupart des cas, aucune information n'est disponible. Il est difficile de tirer les leçons des accidents et de travailler à l’amélioration du produit en l’absence de retour d’information, a noté Corman.
Les mises à jour de sécurité signifient que les problèmes détectés sont résolus rapidement sur chaque véhicule. Je ne voudrais pas qu'on me dise, six mois après l'achat d'une voiture, qu'il me fallait acheter les versions les plus récentes pour profiter des correctifs. Un mécanisme de mise à jour de sécurité garantit que les vulnérabilités sont corrigées efficacement.
La segmentation et l'isolement demandent aux constructeurs automobiles de maintenir les systèmes critiques, tels que les freins et la direction, séparés des autres réseaux de la voiture, tels que le système de divertissement. "Avec la segmentation et l'isolement, nous voulons nous assurer que vous contenez les défaillances. Ainsi, un piratage du système de divertissement ne désactive jamais les freins", a déclaré Corman. Il a noté qu'il existe déjà des différences significatives entre les différents constructeurs automobiles. Certains segmentent mieux que d’autres, mais il reste encore beaucoup à faire.
Nous ne pouvons pas nous permettre d'attendre
Le groupe a pour objectif de réunir des chercheurs en sécurité et des représentants de domaines non liés à la sécurité, tels que la domotique et l'électronique grand public, les appareils médicaux, les transports et les infrastructures critiques, afin d'améliorer la sécurité. L'objectif est de commencer à travailler ensemble pour mettre en place des mesures de sécurité, car "nous ne pouvons pas attendre que de mauvaises choses se produisent", a déclaré Corman. Le moment est venu de commencer, de sorte que dans quelques années, ces efforts donneront effectivement des résultats, a-t-il déclaré. "Nous savons que cela va prendre un certain temps", a-t-il déclaré.
"Nous ne faisons pas cela pour les chercheurs en sécurité", a déclaré Corman. "Nous le faisons pour nos voisins, pour tous ceux qui conduisent une voiture."
