Attention : logiciels malveillants en vue
1Attention: logiciels malveillants en vue
Attention: logiciels malveillants en vue
Analyse des risques émergents dans la sécurité des systèmes automobiles
3Attention: logiciels malveillants en vue
D'après Ericsson, 50milliards d'équipements seront connectés à Internet d'ici à 2020 alors qu'ils
n'étaient qu'un milliard il y a un an. Il ne s'agit pas simplement de ces gadgets omniprésents qui font
partie de notre quotidien. Une bonne part des 50milliards d'équipementsIP escomptés à la fin de cette
décennie sera composée d'équipements embarqués. Ceux-ci sont généralement conçus pour un usage
spécifique, par exemple des caisses enregistreuses, des bornes interactives d'enregistrement dans les
aéroports, des appareils médicaux, des chaînes de production, des contrôleurs à logique programmable,
des systèmes de contrôle industriels et bien d'autres. Comme l'histoire l'a maintes fois démontré,
lesfabricants relèguent souvent la sécurité au second plan. Pourtant, tous ces équipements nécessitent
des fonctions de sécurisation et de gestion adaptées qui doivent être intégrées dès le départ.
Jusqu'il y a peu, le flux d'informations des équipements embarqués était essentiellement unidirectionnel:
les données étaient envoyées par l'équipement à des fins de diagnostic uniquement (ettransmises hors
bande dans pratiquement tous les cas), sans diffusion de données intrabande. Enoutre, ces équipements
avaient une influence minime sur notre vie. Aujourd'hui, les stratégies et les tâches peuvent être transmises
à l'équipement, et les données capturées et renvoyées à une console centrale. Qui plus est, les systèmes
embarqués participent désormais à la qualité même de notre quotidien dans l'électronique automobile,
lesappareils électroménagers, les systèmes de distribution d'eau et d'électricité, etc. Cephénomène
a intensifié l'ampleur des menaces visant ces équipements. Aprésent, les technologies de sécurité
(listesd'autorisation et contrôle des configurations, par exemple) associées aux renseignements sur
les menaces recueillis par des millions de postes partout dans le monde ne sont plus simplement des
composants accessoires: elles sont devenues indispensables. Ces solutions constituent un premier pas
versune protection complète des systèmes embarqués.
Dans la mesure où les systèmes embarqués sont de plus en plus connectés au réseau, les administrateurs
de la sécurité veulent savoir s'ils disposent d'un niveau de protection approprié. Ils souhaitent contrôler
des stratégies différentes sur ces équipements mais au moyen de la même console que celle utilisée
pourgérer et surveiller les ordinateurs.
Chez McAfee, nous nous sommes fixé pour mission de sécuriser les systèmes embarqués et toute la
panoplie d'équipements au-delà des simples ordinateurs. A cette fin, nous collaborons avec Wind River
et des spécialistes de différents domaines pour analyser la sécurité des systèmes embarqués et fournir
des recommandations spécifiques au secteur concerné afin de protéger ces systèmes, les clients ainsi que
le public. Premier d'une série d'études traitant de la sécurité des systèmes embarqués, le présent rapport
se penche plus particulièrement sur les systèmes embarqués des automobiles. Nous espérons que sa
lecture vous sera aussi instructive qu'agréable.
Stuart McClure
Vice-Président Directeur
et Directeur Général
McAfee
Introduction
Aujourd'hui, tout est fait pour améliorer notre confort. Les puces
informatiques, présentes dans tous les aspects de notre quotidien,
permettent d'accéder à une mine d'informations variées là et
au moment où nous en avons besoin. Grâce aux protocoles
Internet, ces équipements jusque-là dépourvus d'intelligence
peuvent désormais communiquer avec vous et entre eux de façon
incroyable et insoupçonnée.
4Attention: logiciels malveillants en vue
Systèmes embarqués dans les automobiles
L'industrie automobile ne cesse de proposer des fonctions et des options
supplémentaires pour améliorer le confort du conducteur et lui offrir la
possibilité de personnaliser sa conduite. Les consommateurs veulent être
connectés en permanence, même en voiture, ce qui incite les constructeurs
à améliorer l'intégration entre les véhicules et les équipements personnalisés
tels que les smartphones et les tablettes.
Les nouvelles voitures peuvent être démarrées
à distance par un téléphone mobile, à l'aide
d'une connexion à partir de la voiture et d'une
demande de démarrage par le détenteur de la clé,
par l'intermédiaire d'Internet ou de services de
téléphonie mobile. Ce n'est là qu'un exemple parmi
d'autres de l'informatisation et de la connectivité
croissantes des automobiles, tant au niveau du
bloc moteur que du tableau de bord. Lapopularité
grandissante de ces systèmes connectés
personnalisés renforce la nécessité de les protéger.
Le confort autrefois mesuré par des options telles
que la climatisation bizone, les sièges chauffants
ou le nombre de porte-gobelets est aujourd'hui
assuré par une conception de qualité mais aussi
par des technologies embarquées spécialisées.
Des systèmes personnalisés comme Bluetooth
ou les systèmes GPS, d'infodivertissement et
d'aide en ligne sont devenus monnaie courante.
Lesconstructeurs différencient leurs modèles grâce
à l'électronique et la tendance est aujourd'hui à
l'intégration de microcontrôleurs et de fonctions
de communication embarquées.
Ces équipements embarqués trouvent leur place
dans toute la voiture, y compris les airbags, laradio,
les sièges électriques, le système de freinage
antiblocage, le contrôle actif de lacet, le régulateur
de vitesse à contrôle de distance, le système de
communication et la communication embarquée.
5Attention: logiciels malveillants en vue
De nombreux constructeurs proposent un système
de communication pour la téléphonie mobile,
par exemple le système OnStar (General Motors),
SYNC (Ford), Assist (BMW), Enform (Lexus), Safety
Connect (Toyota) ou encore mbrace (Mercedes).
Certains incluent également des points d'accès
Wi-Fi dans leurs véhicules afin d'offrir un accès
Internet aux terminaux des passagers.
Il est intéressant de constater que bon nombre
de ces systèmes embarqués peuvent également
coordonner les communications entre eux afin
d'offrir un niveau de personnalisation encore plus
évolué. En voici quelques exemples:
•Déverrouillerlavoitureavecunecléàdistance
spécifique permet d'adapter les sièges et les
rétroviseurs électriques à un conducteur donné.
•Lorsquelevéhiculerouleàvitesseplusélevée,
le volume du système audio augmente
automatiquement afin que le conducteur puisse
continuer à entendre correctement.
•Enfonctionduconducteur,l'automobilepeut
être régulée afin qu'elle ne puisse pas dépasser
une limite de vitesse prédéfinie.
Nous assistons aujourd'hui à de nombreuses
expériences audacieuses dont les voitures à pilotage
automatique de Google et les routes intelligentes
équipées de capteurs qui signalent les conditions
de trafic et les vitesses des véhicules. De telles
expériences montrent les possibilités infinies offertes
par la communication coordonnée et connectée des
divers systèmes embarqués des automobiles.
Malheureusement, en dépit des progrès techno-
logiques de l'industrie automobile, peu d'initiatives
ont été entreprises pour assurer la sécurité de
ces systèmes. L'absence de sécurisation des
premiers systèmes de verrouillage sans clé
àdistance les rendaient très faciles à pirater:
unetélécommande universelle normale dotée
d'une fonction d'apprentissage et disponible dans
le commerce pouvait enregistrer le signal de la clé
et le retransmettre ultérieurement. Et au début
des années 1980, les vols de voitures ont atteint
un chiffre record car les voleurs contournaient le
coupe-circuit en court-circuitant la transmission
électrique pour mettre le moteur en marche et
disparaître avec le véhicule. Toutefois, à la fin de
ladécennie, des mécanismes cryptographiques ont
été implémentés pour éviter ce type de problèmes.
Les constructeurs différencient leurs
modèles grâce à l'électronique et la
tendance est aujourd'hui à l'intégration
de microcontrôleurs et de fonctions
decommunication embarquées.
6
7
8
9
10
11
12
1
/
12
100%
