Dans le premier texte d’une chronique en deux parties, Alexander Poizner parle des dangers très réels de la cybersécurité en ce qui concerne la technologie des véhicules autonomes.
Il est amusant d’imaginer un monde de voitures autonomes; après tout, nous les avons vues dans The Jetsons, Blade Runner et d’innombrables autres séries et films, mais la réalité entourant les véhicules autonomes et les dommages potentiels inhérents à leur arrivée font que même les meilleures histoires de science-fiction semblent adoucies. Lorsque nous parlons de véhicules autonomes, il y a beaucoup plus sous le capot que ce que l’on pourrait croire.
La société s’attend à ce que les véhicules autonomes soient soumis à des normes plus strictes que les conducteurs humains, mais qui, ou quoi, a réellement accès à la voiture et au système de transport ?
Les véhicules autonomes sont une merveille d’ingénierie, mais il y a un revers à cette technologie qui n’est pas compris ou traité de manière adéquate. Il s’agit de problématiques reliées à la cybersécurité qui peuvent entraîner des situations de vie ou de mort, ou même mener à de l’espionnage industriel et international.
Un problème, deux facettes
Maintenant que nous avons votre attention, voyons cela comme un problème à deux facettes.
Tout d’abord, parlons des dispositifs eux-mêmes, car les véhicules autonomes sont essentiellement des ordinateurs mobiles qui utilisent des ensembles de données importants et complexes pour fonctionner. Non seulement ces données sont créées et consommées par les systèmes à l’intérieur du véhicule, mais elles sont également générées, consommées et partagées avec et par l’infrastructure externe requise pour soutenir ce véhicule.
Après tout, cette infrastructure est en réalité un vaste réseau interconnecté de dispositifs IoT (Internet des objets) statiques ou contrôlés de manière centralisée, dont la sécurité physique est difficile à assurer.
Bien qu’il existe plusieurs sites régionaux de développement technologique en Ontario, qui travaillent avec des institutions universitaires telles que le Durham College Autonomous Vehicle Applied Research, les solutions de cybersécurité protégeant à la fois les occupants des véhicules et les municipalités qui gèrent l’infrastructure routière sont encore dans une phase conceptuelle.
Nous avons donc deux problèmes. Les gens peuvent pirater des véhicules, et les gens peuvent pirater l’infrastructure qui supporte ces véhicules, ce qui entraîne une brèche avec des conséquences potentiellement mortelles.
Confiance
Le principal problème tourne autour de la confiance. Quand on y pense, le système tout entier est un réseau d’appareils qui doivent se parler pour que le tout fonctionne. Les véhicules utilisent des systèmes internes pour surveiller l’environnement extérieur autour du véhicule, mais il existe également tout un système de dispositifs externes qui comprend des feux de circulation intelligents avec des capteurs qui mesurent la vitesse, la direction et le volume du trafic afin de se connecter à un réseau plus large de dispositifs intelligents pour créer un système de circulation beaucoup plus efficace.
En fait, un réseau de circulation complet se compose de milliers de dispositifs IoT qui comprennent des dispositifs permanents, tels que des panneaux de signalisation et des feux de circulation, divers capteurs routiers et environnementaux, ainsi que des dispositifs temporaires qui fournissent des données sur la construction et l’état des routes.
Tous ces dispositifs et les systèmes qui les contrôlent doivent s’intégrer et communiquer les uns avec les autres et traiter, agréger et analyser toutes les données créées pour gérer le système collectif.
Ainsi, les infrastructures permanentes, les infrastructures temporaires et les véhicules individuels doivent se faire confiance, et cette confiance s’applique plus particulièrement aux données qu’ils échangent pour faire fonctionner le système. Appelons cela le « réseau de confiance ». Or, la principale menace est que les cyber-attaquants tentent de perturber cette confiance. Ils chercheront les faiblesses du système et les utiliseront pour leur propre profit.
L’une des raisons les plus évidentes pour initier ces attaques est de créer une sorte de perturbation dans le but ultime de provoquer le chaos, des embouteillages, des accidents, ou même de provoquer des perturbations économiques et des troubles civils.
D’autres raisons peuvent cependant être plus subtiles, comme le piratage de certains ou de tous ces dispositifs intelligents pour y insérer une sorte de logiciel malveillant ou avoir un accès aux véhicules ou à l’infrastructure elle-même. Difficile à croire, mais il n’existe pas de norme unique en matière de cybersécurité pour les véhicules autonomes ou l’infrastructure qui les soutient dans l’industrie automobile.
Il existe quelques normes de sécurité décentes telles que la norme CEE-ONU W.29 et la norme ISO/SAE 21434 pour les fournisseurs et les constructeurs automobiles, mais ces normes ne traitent pas directement des questions relatives à la cybersécurité des véhicules autonomes, et ne sont pas non plus appliquées ou mises en œuvre de manière uniforme.
Le Far Ouest
Pour les véhicules autonomes et les systèmes intelligents, c’est encore le Far Ouest. Par exemple, Tesla procède à des mises à jour de ses voitures par voie aérienne. Pensez au danger que représente l’envoi sans fil d’une mise à jour à des centaines de milliers de voitures.
Le problème est, comme nous l’avons vu avec les récents problèmes reliés à la brèche de SolarWinds, que toute la chaîne d’approvisionnement peut être compromise par les mises à jour, en particulier lorsque des parties du code proviennent de plusieurs parties indépendantes. Les logiciels malveillants peuvent être introduits à tout moment.
Vu le nombre d’appareils existant dans un véritable réseau autonome et intelligent et le nombre de systèmes distincts nécessaires pour faire fonctionner ces appareils et l’ensemble du réseau, il suffit d’accéder à une seule pièce du casse-tête pour potentiellement perturber l’ensemble.
Dans la deuxième partie, M. Alexander abordera d’autres formes de cyber-attaques, ainsi que les mesures que nous pourrions effectivement mettre en place pour les prévenir.
Alexander Poizner est un expert accompli en matière de stratégie, de gestion, d’architecture et de gouvernance de la sécurité. Il accompagne les cadres en sécurité et encadre une nouvelle génération de professionnels de la sécurité, faisant ainsi progresser la prise de conscience et la compréhension au sein des entreprises et des communautés de dirigeants.