Comment protéger votre véhicule intelligent contre les cyberattaques

J'étais ravi lorsque j'ai acheté mon véhicule actuel, principalement parce qu'il était doté de fonctionnalités intéressantes comme un chargeur de téléphone sans fil, le transfert de données de téléphone à voiture, la numérisation en temps réel des panneaux de signalisation et des capteurs.

Je pourrais également utiliser une application pour démarrer le véhicule, verrouiller les portes, régler et surveiller la vitesse. Il y avait aussi une option pour connecter le véhicule à mon réseau domestique ou le transformer en point d'accès.

Cependant, j'ai été secoué de ma rêverie par la réalisation soudaine que connecter mon téléphone à la voiture m'expose à des risques potentiels de cybersécurité. Après tout, 7,3 % des incidents affectant les véhicules connectés entre 2010 et 2021 concernaient une application mobile compagnon.

Le détournement de voiture à distance n'est pas qu'un fantasme hollywoodien

Ma préoccupation concernant les cyberincidents potentiels n'était pas due à la représentation par Hollywood de véhicules piratés comme dans Fast and Furious 8 . Il existe des preuves indiquant la possibilité que des véhicules soient piratés et détournés.

Argus les chercheurs ont réussi à tuer le moteur d'une voiture en mouvement en exploitant un dongle Bosch Drivelog Connector vulnérable. Chercheur en sécurité, David Colombo , a accédé à distance à des dizaines de Teslas dispersés dans le monde en raison d'une vulnérabilité du logiciel de journalisation TeslaMate.

Les chercheurs en cybersécurité n'étaient pas les seuls à s'intéresser à l'exploitation des vulnérabilités des automobiles connectées. Selon un rapport , les cyberattaques contre les véhicules ont augmenté de 225 % en 2021 par rapport à 2018, tandis que les acteurs de la menace étaient responsables de 54,1 % des incidents.

Environ 85 % des attaques ont été exécutées à distance, 40 % ont ciblé des serveurs principaux, 38 % ont impliqué des violations de données/de confidentialité et 20 % ont affecté des systèmes de contrôle. L'entrée sans clé et les attaques par porte-clés représentaient 50 % de tous les vols de véhicules.

Une augmentation de station de charge combinée des attaques ont été observées au premier semestre 2022, ouvrant la voie à une perturbation à grande échelle des capacités de recharge, à la compromission des privilèges administratifs et aux attaques de ransomwares contre les utilisateurs de véhicules électriques.

Certains des moyens utilisés pour compromettre les véhicules intelligents comprennent la manipulation de codes et de données internes, l'envoi de messages nuisibles via des systèmes d'infodivertissement, l'exploitation de vulnérabilités dans des logiciels et des appareils connectés, la compromission d'un accès privilégié, l'intégration de virus dans des supports de communication, le détournement de serveurs pour communiquer des codes malveillants à des véhicules en réseau. , et le déploiement d'attaques par déni de service pour provoquer le dysfonctionnement des véhicules.

Les vecteurs de menaces émergents se révèlent très perturbateurs. Une augmentation a été observée des attaques exploitant les vulnérabilités des API pour accéder et contrôler à distance les véhicules, les voler et perturber les fonctionnalités critiques.

Les acteurs de la menace utilisent également des bornes de recharge pour attaquer les véhicules électriques, commettre des fraudes par usurpation d'identité et perturber la capacité de recharger les véhicules électriques à grande échelle.

Le risque lié aux véhicules connectés est une menace imminente émergente

Comme tout autre appareil de l'Internet des objets (IoT), les véhicules connectés sont sensibles aux risques de cybersécurité. La tristement célèbre attaque de botnet Mirai de 2016 a armé de nombreux appareils IoT pour provoquer des attaques par déni de service distribué (DDoS) à l'échelle mondiale.

Aux États-Unis, près de la moitié des organisations utilisant un réseau IoT ont été touchées par une faille de sécurité, entraînant des pertes financières importantes. La possibilité de militariser les véhicules intelligents est réalisable si des contrôles de cybersécurité appropriés ne sont pas en place.

Les vulnérabilités et énumérations communes (CVE) trouvées dans les véhicules intelligents ont augmenté de 321 % en 2021 par rapport à 2020.

Il y avait 26 critiques et 70 hautes vulnérabilités qui comprenait un couplage Bluetooth non autorisé (CVE-2021-0583) et une vulnérabilité du système d'exploitation d'infodivertissement embarqué (CVE-2021-22156) qui pourrait être utilisée pour exécuter une attaque DoS.

Les véhicules connectés et les bornes de recharge exécutant les bibliothèques Apache Log4j sont sensibles aux vulnérabilités Log4Shell (CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105).

Ces vulnérabilités ont été exploitées pour faire des compromis infrastructure véhicule-réseau (V2G), mises à jour du micrologiciel en direct (FOTA), systèmes d'infodivertissement embarqués (IVI) et clés numériques qui contrôlent les fonctionnalités critiques du véhicule.

Les cybermenaces émergentes contre les véhicules connectés comprennent les menaces contre les canaux de communication (89,3 %), les menaces contre les données/le code du véhicule (87,7 %), les vulnérabilités non corrigées (50,8 %), les menaces contre la connectivité et les connexions des véhicules (47,1 %) et les menaces contre les serveurs principaux. ' connectivité (24,1%).

Avec la croissance des réseaux technologiques de véhicule à tout (V2X) et de véhicule à tout cellulaire (CV2X), les opportunités sont infinies à explorer pour les acteurs de la menace.

Ce réseau comprend véhicule à piéton (V2P), véhicule à réseau (V2N), véhicule à véhicule (V2V), véhicule à cloud (V2C), véhicule à réseau (V2G) et véhicule à infrastructure (V2I).

Toute vulnérabilité de l'écosystème pourrait être militarisée pour provoquer des perturbations massives, y compris des risques pour la sécurité.

La croissance des véhicules plus intelligents s'accompagne d'un risque accru

Le marché des véhicules connectés devrait atteindre 121 milliards de dollars d'ici 2025. D'ici 2023, l'industrie automobile mondiale devrait livrer plus de 76 millions de véhicules connectés.

La connectivité 5G est destinée à transformer l'expérience automobile grâce à une télématique améliorée, un stationnement automatisé en usine, des systèmes avancés d'assistance à la conduite, une conduite autonome, des données transparentes et une connectivité cellulaire.

On estime qu'un véhicule intelligent générera 25 Go de données par heure d'ici 2025, dépassant les activités de navigation sur le Web ou de streaming vidéo.

La croissance et la transformation de l'industrie automobile étendent la surface d'attaque et amplifient l'exposition à des risques commerciaux importants. Selon le Forum économique mondial , les prévisions pour le marché des véhicules connectés sont de 215 milliards de dollars d'ici 2027.

Cependant, d'ici 2024, on estime que l'industrie perdrait plus de 500 milliards de dollars cyber-attaques . Il est prudent de supposer que la plupart des gains du marché des véhicules intelligents seraient anéantis par les cyberattaques.

Outre les normes réglementaires de cybersécurité telles que les réglementations WP.29 R1552 et R1563 de la Commission économique des Nations Unies pour l'Europe (UNECE) et la norme ISO/SAE 21434, les fabricants de véhicules intelligents doivent donner la priorité à des contrôles de sécurité adéquats pour réduire la surface d'attaque et minimiser l'exploitation réussie des vulnérabilités. .

Ce que vous pouvez faire pour sécuriser votre véhicule intelligent

La protection des véhicules connectés ne relève pas uniquement de la responsabilité des constructeurs automobiles. Les propriétaires de véhicules ont un rôle à jouer pour minimiser l'accès aux données et les violations. En suivant ces simples recommandations, il sera difficile pour les criminels de voler vos données ou votre véhicule.

• Limitez les informations personnelles partagées avec votre véhicule intelligent, y compris la façon dont vous enregistrez votre adresse personnelle (assez drôle, après la mise à jour de ma voiture, il m'a été demandé de configurer un profil d'utilisateur avec ma clé intelligente - vous avez bien deviné, j'ai refusé la configuration).

• Gardez votre téléphone mobile à jour et assurez-vous que les applications peuvent être installées en toute sécurité. Les applications infectées pourraient être utilisées pour compromettre les téléphones et les véhicules connectés.

• Ne synchronisez pas votre téléphone avec des véhicules de location. Vous laissez peut-être trop d'informations que vous ne le souhaitez.

• Mettez à jour le micrologiciel lorsqu'il est disponible, mais pas en mouvement. Vous ne pouvez pas prédire ce que la nouvelle mise à jour affectera, vous voulez donc le faire en toute sécurité.

• Assurez-vous que les appareils connectés tels que les dongles USB sont exempts de logiciels malveillants.

• Essayez autant que possible d'éviter de connecter votre véhicule à votre réseau domestique. Si vous devez, gardez la connexion sur un canal dédié.

• Soyez conscient de votre environnement lorsque vous utilisez des porte-clés. Si votre véhicule est équipé d'une entrée sans clé sur la porte, utilisez-la pour verrouiller/déverrouiller le véhicule plutôt que le porte-clés.

• Rechargez vos véhicules électriques uniquement dans des stations dédiées avec un contrôle de dissuasion adéquat (par exemple, des caméras de surveillance).

• Lorsque vous êtes connecté aux médias sociaux via votre véhicule, veillez à ne pas cliquer sur des liens suspects.

• Sachez que si votre véhicule peut se connecter à Internet, il peut télécharger des logiciels malveillants. Soyez conscient des sites Web que vous visitez.

• Si vous remarquez que votre tableau de bord s'affiche de manière étrange, il est préférable de ne pas conduire tant que vous n'êtes pas sûr que le système d'infodivertissement n'a pas été modifié.

Prenez la route en toute confiance

La possibilité d'une cyberattaque ne doit pas vous empêcher de profiter de votre véhicule intelligent. Faire des choix de sécurité intelligents comme recommandé ci-dessus vous permet d'explorer les fonctionnalités intéressantes de votre véhicule connecté sans compromettre votre sécurité.

En outre, les constructeurs automobiles doivent s'assurer que des principes d'ingénierie sécurisés sont intégrés à chaque phase du cycle de vie du développement du véhicule.

Les fournisseurs tiers jouent un rôle important dans le maintien de l'intégrité des véhicules connectés en mettant en œuvre des contrôles adéquats pour minimiser l'exploitation des vulnérabilités dans la chaîne d'approvisionnement numérique.