Nous assistons à un changement de paradigme en ce qui concerne le monde automobile. Les voitures électriques envahissent les routes et le concept de mécanicien automobile est de plus en plus un véhicule électrique et électronique. Bref, de plus en plus d’ordinateurs sont sur roues. Ainsi, comme cela s’est produit dans plusieurs autres segments, la question qui peut et doit être posée est de savoir si oui ou non ces grands centres informatiques générateurs de données peuvent être « piratés » et les propriétaires deviennent victimes de ransomwares.

Avez-vous déjà pensé si un jour vous arrivez devant votre voiture et qu’elle est « détournée » et demande une rançon pour circuler ?

Et si un jour votre voiture était « piratée » ?

Les voitures sont équipées de dizaines d’unités de commande électroniques (ECU) à base de microprocesseurs, qui exécutent collectivement des millions de lignes de code. Viennent ensuite la télématique, les logiciels d’assistance à la conduite et le système d’infodivertissement, parmi de nombreux autres systèmes et composants qui font actuellement partie d’un véhicule moderne.

Maintenant, il n’est pas surprenant que les capacités numériques et autonomes des voitures augmentent, l’intégrité de ce code sera encore plus importante – en particulier sa sécurité.

Si vous y réfléchissez, chaque voiture est livrée avec de nombreux composants, et chacun d’eux peut avoir une base de code différente, qui, si elle est mal testée ou protégée, est vulnérable aux bugs, erreurs ou codes malveillants. Mais que se passerait-il si nous pouvions sceller les systèmes en les rendant complètement sûrs avant qu’ils ne quittent les usines ?

Il y a une déclaration très intéressante de Matt Wyckhouse, fondateur et PDG de Finite State. Il s’agit d’une société d’analyse des risques. Cependant, ce qui était vraiment intéressant, ce sont les actions développées par Matt pour sa voiture, une Tesla. Il a personnellement investi dans la sécurité de votre voiture.

Quelles sont les failles de sécurité les plus courantes ?

En tant qu’expert en sécurité et en analyse des risques, Matt a mentionné certaines particularités qui ne sont pas du tout accessibles au consommateur moyen qui a acheté la voiture.

Selon lui, l’un des défauts les plus courants est qu’un code mal écrit est vulnérable aux risques de sécurité ou aux activités malveillantes. Ces millions de lignes de code à l’intérieur des microprocesseurs d’une voiture ont leur propre origine. Par exemple, le micrologiciel du système embarqué, y compris le micrologiciel utilisé dans les véhicules connectés, est constitué à 80-95 % de composants tiers et open source.

Et lorsque vous commencez à utiliser des logiciels d’autres parties qui ne partagent peut-être pas votre surveillance de sécurité, le risque augmente.

Certains des exemples laissés par les experts en sécurité sont même bien connus et ont récemment fait des victimes.

Vulnérabilité Log4J

Un exemple de la récente vulnérabilité Log4j – une vulnérabilité jour zéro dans la bibliothèque de journalisation basée sur Java Apache Log4j. Le programmeur principal peut avoir extrait le logiciel Log4j dans le cadre de sa pratique de développement. Ou il peut être impliqué dans un troisième, quatrième ou cinquième composant construit en Java qui fait son chemin dans le logiciel final.

Cela compromet la sécurité de tout serveur automatisé utilisant la bibliothèque. Les données sont collectées et stockées à différents endroits au fil du temps. Cela augmente le risque d’avoir un impact sur le logiciel du véhicule.

Comme nous l’avons signalé en janvier, le chercheur en cybersécurité David Columbo a pu saisir à distance plus de 25 Teslas en raison d’une faille de sécurité découverte dans un logiciel tiers utilisé par les conducteurs de Tesla.

Cela ne lui permettait pas de « conduire » les voitures. Cependant, il a déclaré qu’il était possible de verrouiller et de déverrouiller les fenêtres et les portes, de désactiver les systèmes de sécurité des voitures, de klaxonner et d’allumer et d’éteindre les autoradios.

Le problème de sécurité des informations d’identification codées en dur

Un autre exemple laissé par Matt concerne les informations d’identification codées en dur (mots de passe codés/intégrés). C’est là que les mots de passe en texte brut et les données secrètes sont placés dans le code source. Fournit une porte dérobée pour les tests et le débogage des produits.

Laissé dans le code final, un attaquant peut lire et modifier les fichiers de configuration et modifier l’accès des utilisateurs. Si le même mot de passe est utilisé par défaut sur plusieurs appareils, vous avez un problème encore plus important.

En 2019, les informations d’identification codées en dur laissées dans l’application mobile MyCar ont permis aux attaquants d’accéder aux données des consommateurs et d’obtenir un accès physique non autorisé au véhicule de la cible.

OK… alors comment protégez-vous les logiciels contre les vulnérabilités et les attaques ?

Le PDG de Finite State dit que c’est là que son travail commence. Le point de vue est effectivement intéressant. Il dit donc que son travail commence dans la phase de test, en se concentrant sur la copie binaire finale et les versions. En gros, il dit qu’il fait le travail à l’envers.

Tout d’abord, il automatise la rétro-ingénierie du code. Démontez-le, décompilez-le et testez les faiblesses et les vulnérabilités. Ensuite, le résultat est partagé avec l’équipe de sécurité du client.

Matt Wyckhouse a expliqué que les tests finaux leur permettent de voir comment un artefact logiciel a changé au fil du temps :

Et s’il y a un changement involontaire qui n’est pas lié à l’action de l’équipe de développement, c’est une raison pour enquêter plus avant.

En analysant l’évolution de la sécurité dans d’autres secteurs et en transposant cette évolution au monde automobile, on se rend compte que les concepts de cybersécurité et de mobilité ont encore un long chemin à parcourir.

Cependant, selon Wyckhouse, les constructeurs automobiles investissent continuellement dans la sécurité, non seulement pour répondre aux normes de l’industrie, mais aussi pour acquérir des avantages en termes de réputation et de compétitivité par rapport à leurs concurrents qui subissent à plusieurs reprises des failles de sécurité.

Pourtant, selon les experts, il ne se passe pas une semaine sans qu’un autre signalement d’attaque ou de vulnérabilité soit découvert par des enquêteurs « chapeau blanc »… les gentils ! Et à mesure que l’automatisation automobile augmente, les enjeux ne font que croître.