Le secteur du transport n’échappe pas à la transformation numérique, et notamment les voitures qui deviennent de plus en plus communicantes. Les projets sont nombreux, pour n’en citer que quelques-uns : la création d’un système européen d’appel d’urgence automatique « E-call », les places de stationnement intelligentes ou encore le déploiement de sites pilotes de voitures connectées en France (projet Scoop@f) et sur le corridor Rotterdam-Vienne.
Les initiatives posent la question de la sécurité de l’information
Un système de transports intelligents, quel qu’il soit, permet de diffuser et partager de l’information, de la traiter de manière autonome et intelligente. Les objectifs de telles évolutions ? Ils sont multiples : optimiser la gestion de trafic, améliorer la sécurité routière, aider à développer la multi-modalité, etc.
De tels usages nécessitent l’échange de nombreuses informations, entre les véhicules, ou entre les véhicules et les infrastructures routières : vitesse, positionnement GPS, changement de trajectoire, alertes sur le trafic… Protection des données à caractère personnel, préservation de l’intégrité des informations, disponibilité des dispositifs qui concourent à la sécurité routière : les enjeux de sécurité de ces informations ressortent clairement comme essentiels pour que la voiture connectée de demain donne confiance aux usagers.
Ces transformations font aujourd’hui l’objet de réflexions de standardisation et de normalisation menées par divers groupes de travail (l’ISO, la Commission européenne de normalisation, et l’ETSI – European Telecommunications Standards Institute). Ces organismes mènent des réflexions qui portent par exemple sur les formats de messages à utiliser, les canaux de communications envisageables (Wi-Fi véhiculaire, réseaux cellulaires ou réseau satellite) ou la sécurisation des protocoles de communication.
En complément, de nombreux consortiums européens (Drive C2X, CAR2CAR, FOTsis) mènent des réflexions sur le déploiement de systèmes routiers collaboratifs. Certains d’entre eux peuvent intégrer le sujet de la sécurité de l’information.
Si ces réflexions portent sur un périmètre plus ou moins large, mener un projet lié aux voitures connectées implique de revenir sur les usages et d’identifier les risques puis les mesures de sécurité à mettre en place sur l’ensemble des briques du dispositif : la voiture, les bornes, les systèmes d’informations du gestionnaire, etc.
Focus sur le véhicule : la prise de contrôle par un hacker est-elle réellement possible ?
Les attaques informatiques sur des systèmes embarqués de véhicules ne sont pas une nouveauté en soi. Des démonstrations d’attaques ont été réalisées par manipulation physique des boîtiers. Mais aujourd’hui il est indispensable d’intégrer la dimension communicante du véhicule, et donc la capacité à prendre le contrôle à distance. En effet, les voitures ont historiquement été conçues pour fonctionner en système fermé, sans ou avec très peu d’interactions avec le monde extérieur. La multiplication des connexions des véhicules avec le monde extérieur constitue de nouvelles surfaces d’attaque.
Le « car hacking » est donc possible, et pour la sécurité de l’information dans les véhicules de demain, les constructeurs intègrent la cybersécurité dans les réflexions sur l’architecture technique du véhicule avec notamment la mise en œuvre d’un cloisonnement entre les réseaux de fonctionnement liés au système de conduite (freinage par exemple) et les réseaux liés « aux médias » et à la sécurisation du boîtier de communication.
Au-delà des projets en cours, comment anticiper la « smart security » dans le transport routier ?
Si le sujet est innovant, la démarche de sécurité est en somme « classique » : intégrer la sécurité dans toutes les phases du projet ! Il s’agit d’un point essentiel pour mener la réflexion sur l’ensemble des briques. Dans un premier temps, analyser les usages et donc les besoins de sécurité. Ensuite, comprendre les fonctions, l’architecture de sécurité et donc les menaces et vulnérabilités. Puis, en fonction des risques, les mesures de sécurité à mettre en place puis à maintenir doivent être définies qu’elles soient techniques ou organisationnelles.
Une spécificité néanmoins liée au caractère innovant : mener une veille permanente sur le sujet. Quels nouveaux projets peuvent présenter des adhérences ? Quels nouveaux standards ? Quels travaux des chercheurs sur les vulnérabilités, sur les solutions ? Quels consortiums, groupes de travail portent une réflexion sur une brique ? Le secteur est en pleine transformation, et son évolution doit donc être suivie.