Top 10 des risques de cybersécurité automobile.

Il y a de nombreux risques dans le système automobile et certains sont exagérés, d’autres sont sous-mentionnés.

Aborder ceux qui auront vraiment un impact sur l’expérience client sera le défi pour les fournisseurs, les gouvernements et les fabricants.

Les solutions de cybersécurité sont toutes axées sur la gestion des risques. Les chercheurs et la communauté automobile sont engagés dans les discussions émergentes concernant les voitures autonomes, les enquêtes de la CIA sur les attaques des pays et les piratages des blackhats aux conséquences diverses.

Ceci peut vous intéresser : Les voitures BMX pourraient être piratées, l’université britannique condamnée à payer une amende et plus…

À l’extrême, les experts de la télévision parlent de catastrophes potentielles allant du Dark Web aux exemples concrets de hacks tels que la Jeep 2015 qui a laissé un journaliste impuissant sur l’autoroute après que son moteur ait été désactivé. À l’autre extrémité du spectre, la communauté des ingénieurs discute de risques plus probables comme les attaques par déni de service (DoS) contre des individus ou des flottes où les pirates désactiveraient les véhicules contre les paiements de rançon.

D’une manière ou d’une autre, il y a une foule de sujets de risque sous-jacents qui ne sont pas discutés et qui devraient pousser les discussions nationales et internationales dans les mois et les années à venir.

Voici la liste des 10 choses à penser :

1. Combien de hacks sont arrivés à ce jour?

La réponse rapide est que personne ne sait. Il y a certainement plusieurs pirates informatiques qui ont fait connaître leurs découvertes, ce qui a conduit à des mises à jour logiciels coûteux pour les fabricants d’automobiles. Il n’y a eu qu’une poignée de piratages dans le monde réel (tels que Jeep Wranglers volés en 2016) identifiés à ce jour. En l’absence d’une surveillance centralisée des flottes d’entreprises, la surveillance a été laissée à des entreprises individuelles et à des dirigeants qui doivent équilibrer les coûts et la valeur du leadership sans besoin ni exigence documentés.

2. Pendant combien de temps le cycle de vie de votre véhicule sera-t-il cyber sécurisé ?

Le véhicule est vendu chez le concessionnaire et maintenant il doit être entretenu par quelqu’un. De nouveaux hacks sont toujours créés et là-dedans, le logiciel d’hier devient plus connu et plus vulnérable. Pour combien de temps sera-t-il couvert ? Et qu’est-ce qui constitue la couverture attendue ? L’iPhone4, par exemple, ne reçoit plus de mises à jour.

3. Qu’est-ce qui pousse à agir ?

Si un piratage se produit et que le cybercriminel peut contrôler votre volant, la réponse est évidente pour tout le monde : la voiture doit être réparée. Mais que faire si le hacker peut contrôler vos fenêtres ? Ceci n’est évidemment pas lié à la sécurité et peut seulement causer de la petite délinquance ou des inconvénients pour le client, mais pas de coût généralisé. Alors, quel est le seuil digne d’agir à grande échelle ? Est-ce que le fait de pouvoir changer une station de radio pour diffuser une publicité pirate justifie une mise à jour ?

4. Comment la voiture se répare-t-elle rapidement ?

En supposant que le constructeur automobile veut réparer ces fenêtres ouvertes, toutes les parties veulent que le correctif soit instantané et presque gratuit. On imagine des téléchargements de logiciels s’apparentant à des mises à jour en direct par smartphone. Les constructeurs automobiles vont dans cette direction, mais une seule entreprise, Tesla, a ce problème à travers le véhicule. Et peu importe qui finira par implémenter la technologie de communication re-flash, il y aura des endroits où obtenir un re-flash fiable ne sera pas possible en raison de la couverture cellulaire ou de l’interférence. Aucun processus n’est fiable à 100 % et les équipementiers auront besoin d’un système de surveillance des véhicules fiable et constamment mis à jour pour gérer ce risque.

5. Que se passe-t-il si la marque automobile échoue ?

Sans discuter de la responsabilité du fait des produits, la plupart des entreprises automobiles voudront se tenir derrière leur produit et leur expérience utilisateur afin de remporter le prochain achat et, à ce titre, fourniront une cybersécurité continue. Mais que se passe-t-il si l’entreprise automobile échoue et que personne ne gère vos mises à jour de cybersécurité ?

6. Que se passe-t-il si la société de cybersécurité échoue ?

Dans la même veine, que se passe-t-il si le fournisseur qui a créé les algorithmes et la surveillance du véhicule échoue ? Que faire si la société de démarrage qui a conçu votre système ne le supporte plus ? Malheureusement, il ne s’apparente pas à McAfee ou Norton sur un ordinateur portable, vous ne pouvez pas simplement désinstaller et réinstaller une autre solution car il n’y a pas de puissance de traitement illimitée ou de conception de réseau simple dans les véhicules.

7. Pouvez-vous vous protéger ?

Selon toute vraisemblance, la cybersécurité ne sera jamais une caractéristique de vente. Les gens ne veulent pas l’imaginer et plutôt que d’enquêter, ils supposent simplement que la protection est là ou à venir bientôt. Mais imaginons que la cybersécurité devienne finalement une caractéristique de vente : il est difficile de mesurer sur une statistique objective et croisée, la puissance ou la consommation de carburant. Donc, même si vous vouliez améliorer votre performance en parlant avec votre porte-monnaie, il n’y aurait pas d’évaluation objective sur l’autocollant de la fenêtre.

8. Et si vous n’êtes pas le maillon faible ?

Un pirate ira toujours après la solution la plus faible avec le plus grand impact. Cela pourrait ne pas être votre voiture : vous avez peut-être acheté une beauté super protégée basée sur cette fonctionnalité de vente supposée. Mais la personne qui conduit à côté de vous sur l’autoroute pourrait avoir un système sensible et maintenant vous et tout le monde à proximité sont à risque. Donc le terme « sécurisé » pourrait être temporel.

9. Comment les lois sur la vie privée peuvent-elles affecter les choses ?

De nombreux pays ou régions ont des lois différentes concernant la collecte d’informations identifiables de manière confidentielle pour protéger la vie privée des consommateurs, mais le risque est que cela puisse entraver la cybersécurité. « Quel véhicule a été piraté quand et où », est une question qui place le consommateur dans une catégorie qu’il considérerait comme privé et certains pays ne permettent même pas de collecter une partie de ces données et encore moins d’autoriser des données expédié à l’extérieur du pays.

10. Que peuvent faire les gouvernements pour faire respecter les conceptions de cybersécurité ?

Malheureusement, le gouvernement ne peut pas spécifier et appliquer un plan de cybersécurité spécifique pour deux raisons : la cybersécurité est en constante évolution et deviendrait probablement supérieure à la réglementation et toute exigence spécifique serait un plan pour le pirate informatique. Un excellent exemple en est le port OnBoard Diagnostics (port OBD-II), mandaté par le gouvernement fédéral, qui est utilisé dans les véhicules depuis des décennies et qui semble maintenant être la surface de menace la plus vulnérable. Le plus que tout gouvernement pourrait faire serait d’exiger une surveillance et une protection continues des véhicules, mais même dans ce cas, toute vérification devrait être minime et profonde afin de prévenir toute divulgation de vulnérabilités.

A lire aussi :
Est-il possible de pirater les voitures sans clés ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage