Juniper France Tech Blog
Affichage des résultats de 
Rechercher plutôt 
Voulez-vous dire 

Avec l’essor des premières voitures connectées en circulation, quel serait le risque qu’elles soient prises en otage ?

par Juniper Employee le ‎06-05-2017 02:01 AM

speedometer-309118_640.pngLe piratage de voiture n'est pas un phénomène nouveau. En 2015 (et 2016), lors de la conférence Black Hat consacrée à la sécurité de l’information, il a été démontré que le moteur d'une voiture pouvait être coupé en prenant le contrôle d'un logiciel embarqué.

 

Ce qui est nouveau, c'est le nombre croissant de personnes qui achètent et conduisent des voitures connectées, se fiant à leurs logiciels et à leurs fonctions intelligentes. Et cette tendance ne fait qu'augmenter la visibilité de ces produits. Selon les estimations de BusinessInsider.com dans un rapport récent, 380 millions de voitures connectées seront sur les routes d'ici 2020. Ce chiffre ne peut que motiver les hackers à investir le temps et l'énergie nécessaires pour développer des kits exploits.

 

Nous devrions vraisemblablement bientôt assister à l'émergence d'attaques de sécurité ciblées sur les propriétaires de voitures connectées. Les hackers auraient recours à l'ingénierie sociale pour entrer en contact avec le conducteur dans le but de lui refuser l'accès à son véhicule ou de l'empêcher de l'utiliser, voire de prendre le contrôle de systèmes connectés. Cela pourrait se manifester par la désactivation de la navigation ou par des actes plus inquiétants, tels que la prise de contrôle via la technologie « by-wire », impliquant des commandes sans liaison mécanique, qui est utilisée aujourd'hui dans de nombreux véhicules pour le freinage et l'accélération.

 

Imaginez le scénario :

Vous vous rendez en voiture au travail et un message s'affiche sur l'écran de votre véhicule : « Révision prévue dans 30 jours, nous pouvons vous réserver un rendez-vous le xx/xx/xxxx. Cliquez pour accepter ou annuler ». Le message ne vous paraît pas suspicieux, vous sélectionnez « accepter ». Et vous venez juste d'être piraté. Au prochain arrêt de votre voiture, vous ne parviendrez pas à la redémarrer ou bien la climatisation se bloquera sur la température la plus froide. Et les failles ne s'arrêtent pas là. Les hackers pourraient avoir accès à distance aux systèmes embarqués à des fins d'enregistrement, de géolocalisation et potentiellement de chantage. Ce type d'attaque n'est limité que par les fonctionnalités du véhicule et la créativité du hacker.

 

La première attaque de ce genre ne sera certainement pas fortuite. La fenêtre d'opportunité se fermera dès que les constructeurs renforceront la sécurité des véhicules. Néanmoins, cela risque de n’avoir pour effet que de décupler la détermination des hackers. La première attaque ciblera peut-être une célébrité afin d'attirer l'attention. Il s'agira certainement de « l'expérience la plus traumatisante qu'il ou elle aura vécu », mais cela aura surtout pour conséquence de ternir l'image de marque du constructeur, tout en braquant les projecteurs sur la célébrité et le cybercriminel.

 

Jusqu'ici, les attaques sur les voitures connectés étaient limitées et nécessitaient une connexion physique à un port à l'intérieur du véhicule. Le fait que les voitures neuves vendues à l'heure actuelle intègrent la connectivité mobile et l'accès en ligne, augmente la probabilité d'une attaque. De nombreux constructeurs automobiles ont déjà implémenté des pare-feu et continuent d'en mettre au ... pour protéger les systèmes embarqués, mais ce n'est pas encore le cas de tous.

 

Comment les propriétaires de voitures connectées peuvent-ils mieux se protéger ?

  • Une sensibilisation aux questions de sécurité : De manière générale, nous avons pris l’habitude de ne pas répondre aux SMS ou aux e-mails non sollicités, et bien cela doit être similaire dans un véhicule. Si vous recevez un message inattendu par le biais de la technologie de votre voiture connectée, ne l'acceptez pas aveuglément. Au contraire, prenez le temps de le lire et de rechercher les erreurs évidentes de grammaire ou d'orthographe. Si un doute subsiste, demandez l'avis de votre concessionnaire avant d’accepter le message. Misez toujours sur la prudence avant tout.
  • La communication du constructeur : Les conducteurs sont enthousiastes à l'idée des opportunités offertes par les voitures connectées et les constructeurs développent des applications et des API (interfaces pour le développement d'applications personnalisées) afin d'étendre les fonctionnalités. Par conséquent, en cas de problème ou de panne, les constructeurs doivent communiquer rapidement et de manière transparente.

                                                                                 

D'ici 2018, davantage de voitures connectées seront en circulation, en particulier avec l'adoption de l'initiative eCall en Europe et l'étude de la technologie V2V (véhicule à véhicule) par le Département des Transports américain. Il s'agit d'une part d'une avancée pour les conducteurs, mais d’autre part d'un défi pour les constructeurs avec les multiples systèmes d'exploitation et les millions de lignes de code que cela implique. Les cybercriminels ont bien conscience que les conducteurs sont prêts à payer pour que leur voiture puisse continuer à rouler et cela représente un risque à ne pas négliger pour les prochaines années.

 

Mon conseil : réfléchissez avant de cliquer !

Annonces
Juniper Networks Technical Books
Étiquettes
À propos de l'auteur
  • Arnaud holds his Master of Science from the French Engineering school ESEO in Angers. He gives regular talks at French universities and during industry conferences and is an active contributor to hackathons organized by RIPE Network Coordination Center and Juniper Networks, for example.
  • Cyrille LARRIEU joined Juniper Networks in 2011 as Senior Systems Engineer to work on Security portfolio for Campus & Branch, Data Center, and Service Provider environments. Prior to that he worked as a Security Specialist for Cisco Systems and Internet Security Systems. He has already accumulated 20 years experience in the security industry. Recently Cyrille Larrieu has been nominated as a Juniper press speaker for the security topic.
  • In Juniper for over 12 years, I started in NetScreen in late 2001 and followed all the NetScreen/ScreenOS and SRX/Junos evolution in this fast growing company, alongside with SSL/UAC and all management topics (NSM, Junos Space Security Director, STRM). Now focusing on several topics such as Application and DDoS protection, users and devices access control, carrier space such as LTE, Gi and Gp protection. I'm also interested in hooking all of these in a central management fashion, going down to SDN path. Integration security into virtualisation and SDN/NFV with Contrail and VMware, particularly with vSRX.
  • Laurence is passionate about technology, particularly cyber security. His depth and breadth of knowledge of the dynamic security landscape is a result of over twenty years’ experience in cyber security. He understands the security concerns businesses face today and can bring insight to the challenges they will face tomorrow. Laurence joined Juniper Networks in 2016 and is our senior security specialist in EMEA. Security throughout the network is a key area where Juniper Networks can help as business moves to the cloud and undertakes the challenge of digital transformation.
  • Olivier Melwig joined Juniper Networks in late 2006 as Systems Engineer to work on next generation of network architectures for Internet Service Providers in France and French speaking Africa. Since early 2011 he has been heading successively Systems Engineering team covering both SPs and Enterprise in France, then in 2014 Strategic Vertical and Commercial accounts in South Europe. Before, Olivier was IP Engineering manager for NOOS-Numericable cable operator, where he contributed actively to merge French cable networks nationwide during 6 years. Prior to that, he began his carreer as network consultant for major French Telecom SPs like France Telecom, Transpac or MCNSAT, Olivier holds an engineering degree in Telecom and Data networks from the Institut Supérieur d'Electronique de Paris.