J'étais ravi lorsque j'ai acheté mon véhicule actuel, principalement parce qu'il était doté de fonctionnalités intéressantes comme un chargeur de téléphone sans fil, le transfert de données de téléphone à voiture, la numérisation en temps réel des panneaux de signalisation et des capteurs.
Je pourrais également utiliser une application pour démarrer le véhicule, verrouiller les portes, régler et surveiller la vitesse. Il y avait aussi une option pour connecter le véhicule à mon réseau domestique ou le transformer en point d'accès.
Cependant, j'ai été secoué de ma rêverie par la réalisation soudaine que connecter mon téléphone à la voiture m'expose à des risques potentiels de cybersécurité. Après tout, 7,3 % des incidents affectant les véhicules connectés entre 2010 et 2021 concernaient une application mobile compagnon.
Ma préoccupation concernant les cyberincidents potentiels n'était pas due à la représentation par Hollywood de véhicules piratés comme dans Fast and Furious 8 . Il existe des preuves indiquant la possibilité que des véhicules soient piratés et détournés.
Les chercheurs en cybersécurité n'étaient pas les seuls à s'intéresser à l'exploitation des vulnérabilités des automobiles connectées. Selon un rapport , les cyberattaques contre les véhicules ont augmenté de 225 % en 2021 par rapport à 2018, tandis que les acteurs de la menace étaient responsables de 54,1 % des incidents.
Environ 85 % des attaques ont été exécutées à distance, 40 % ont ciblé des serveurs principaux, 38 % ont impliqué des violations de données/de confidentialité et 20 % ont affecté des systèmes de contrôle. L'entrée sans clé et les attaques par porte-clés représentaient 50 % de tous les vols de véhicules.
Une augmentation de
Certains des moyens utilisés pour compromettre les véhicules intelligents comprennent la manipulation de codes et de données internes, l'envoi de messages nuisibles via des systèmes d'infodivertissement, l'exploitation de vulnérabilités dans des logiciels et des appareils connectés, la compromission d'un accès privilégié, l'intégration de virus dans des supports de communication, le détournement de serveurs pour communiquer des codes malveillants à des véhicules en réseau. , et le déploiement d'attaques par déni de service pour provoquer le dysfonctionnement des véhicules.
Les vecteurs de menaces émergents se révèlent très perturbateurs. Une augmentation a été observée des attaques exploitant les vulnérabilités des API pour accéder et contrôler à distance les véhicules, les voler et perturber les fonctionnalités critiques.
Les acteurs de la menace utilisent également des bornes de recharge pour attaquer les véhicules électriques, commettre des fraudes par usurpation d'identité et perturber la capacité de recharger les véhicules électriques à grande échelle.
Comme tout autre appareil de l'Internet des objets (IoT), les véhicules connectés sont sensibles aux risques de cybersécurité. La tristement célèbre attaque de botnet Mirai de 2016 a armé de nombreux appareils IoT pour provoquer des attaques par déni de service distribué (DDoS) à l'échelle mondiale.
Aux États-Unis, près de la moitié des organisations utilisant un réseau IoT ont été touchées par une faille de sécurité, entraînant des pertes financières importantes. La possibilité de militariser les véhicules intelligents est réalisable si des contrôles de cybersécurité appropriés ne sont pas en place.
Les vulnérabilités et énumérations communes (CVE) trouvées dans les véhicules intelligents ont augmenté de 321 % en 2021 par rapport à 2020.
Il y avait 26 critiques et 70 hautes
Les véhicules connectés et les bornes de recharge exécutant les bibliothèques Apache Log4j sont sensibles aux vulnérabilités Log4Shell (CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105).
Ces vulnérabilités ont été exploitées pour
Les cybermenaces émergentes contre les véhicules connectés comprennent les menaces contre les canaux de communication (89,3 %), les menaces contre les données/le code du véhicule (87,7 %), les vulnérabilités non corrigées (50,8 %), les menaces contre la connectivité et les connexions des véhicules (47,1 %) et les menaces contre les serveurs principaux. ' connectivité (24,1%).
Avec la croissance des réseaux technologiques de véhicule à tout (V2X) et de véhicule à tout cellulaire (CV2X), les opportunités sont infinies à explorer pour les acteurs de la menace.
Ce réseau comprend véhicule à piéton (V2P), véhicule à réseau (V2N), véhicule à véhicule (V2V), véhicule à cloud (V2C), véhicule à réseau (V2G) et véhicule à infrastructure (V2I).
Toute vulnérabilité de l'écosystème pourrait être militarisée pour provoquer des perturbations massives, y compris des risques pour la sécurité.
Le marché des véhicules connectés devrait atteindre 121 milliards de dollars d'ici 2025. D'ici 2023, l'industrie automobile mondiale devrait livrer plus de 76 millions de véhicules connectés.
La connectivité 5G est destinée à transformer l'expérience automobile grâce à une télématique améliorée, un stationnement automatisé en usine, des systèmes avancés d'assistance à la conduite, une conduite autonome, des données transparentes et une connectivité cellulaire.
On estime qu'un véhicule intelligent générera 25 Go de données par heure d'ici 2025, dépassant les activités de navigation sur le Web ou de streaming vidéo.
La croissance et la transformation de l'industrie automobile étendent la surface d'attaque et amplifient l'exposition à des risques commerciaux importants. Selon le Forum économique mondial , les prévisions pour le marché des véhicules connectés sont de 215 milliards de dollars d'ici 2027.
Cependant, d'ici 2024, on estime que l'industrie perdrait plus de 500 milliards de dollars
Outre les normes réglementaires de cybersécurité telles que les réglementations WP.29 R1552 et R1563 de la Commission économique des Nations Unies pour l'Europe (UNECE) et la norme ISO/SAE 21434, les fabricants de véhicules intelligents doivent donner la priorité à des contrôles de sécurité adéquats pour réduire la surface d'attaque et minimiser l'exploitation réussie des vulnérabilités. .
La protection des véhicules connectés ne relève pas uniquement de la responsabilité des constructeurs automobiles. Les propriétaires de véhicules ont un rôle à jouer pour minimiser l'accès aux données et les violations. En suivant ces simples recommandations, il sera difficile pour les criminels de voler vos données ou votre véhicule.
La possibilité d'une cyberattaque ne doit pas vous empêcher de profiter de votre véhicule intelligent. Faire des choix de sécurité intelligents comme recommandé ci-dessus vous permet d'explorer les fonctionnalités intéressantes de votre véhicule connecté sans compromettre votre sécurité.
En outre, les constructeurs automobiles doivent s'assurer que des principes d'ingénierie sécurisés sont intégrés à chaque phase du cycle de vie du développement du véhicule.
Les fournisseurs tiers jouent un rôle important dans le maintien de l'intégrité des véhicules connectés en mettant en œuvre des contrôles adéquats pour minimiser l'exploitation des vulnérabilités dans la chaîne d'approvisionnement numérique.