La menace cyber, nouveau casse-tête de l’automobile (La Tribune)

mardi 17 décembre 2024

telecom-paris-MS-architecture-reseau-et-cybersecurite-vignette

La sécurité des logiciels embarqués préoccupe de plus en plus l’industrie automobile et les gouvernements aux États-Unis comme en Europe. Tous redoutent des prises de contrôle à distance des voitures ou le piratage de données.

Fini le temps où l’automobile n’était qu’affaire que de carrosserie et de mécanique. Désormais, les voitures modernes, en particulier électriques, sont de plus en plus bardées d’électroniques et de capteurs connectés à Internet. À l’instar des smartphones, toutes sont soumises à des mises à jour fréquentes en se connectant à Internet. L’automobile est, dès lors, exposée à tout l’éventail des menaces cyber. Le secteur constitue en conséquence une cible de choix pour les pirates informatiques, mafieux ou étatiques, qui voudraient espionner, voler des données, ou encore prendre à distance le contrôle d’un véhicule.

[…] Aux États-Unis, les risques liés aux cyberattaques dans l’automobile sont devenus un sujet ultra-sensible. L’idée qu’on puisse, en particulier, « transformer une voiture en machine à tuer » préoccupe depuis longtemps les autorités, explique Pascal Urien, professeur à Télécom Paris et chercheur en sécurité informatique. Un événement a, selon lui, provoqué un immense électrochoc au pays de l’Oncle Sam : le piratage en 2015 d’une Jeep Cherokee par deux chercheurs américains. Non content d’activer à distance l’autoradio, la climatisation, les clignotants ou les essuie-glaces, ils ont réussi, en exploitant une faille de sécurité à distance via le réseau de l’opérateur télécoms Sprint, à couper la transmission du véhicule sur l’autoroute.

Largement médiatisé, l’épisode a fait l’effet d’une bombe dans le monde de l’automobile. Il a contribué à « sensibiliser très fortement » les industriels à l’importance de la sécurité informatique, constate Pascal Urien. « À partir de là, les constructeurs ont vraiment commencé à s’y intéresser », poursuit-il. Il y a eu ensuite des rapports de sénateurs américains sur la question. » […]

En Europe aussi

[…] La Commission [européenne] précise que les règles actuelles seront renforcées […]. Elle rappelle d’abord qu’une loi sur la cyber-résilience sera bientôt adoptée. « Les entreprises qui mettent sur le marché européen du matériel et des logiciels, y compris des composants, devront se conformer à des exigences strictes en matière de cybersécurité », argue l’institution. Pascal Urien, lui, souligne les limites de ces dispositions.

« Le monde de la sécurité est fait de certifications », rappelle-t-il. Mais elles n’empêchent nullement l’intégration de « fonctionnalités cachées », possiblement à des fins malveillantes. […]

À lire dans La Tribune