vendredi 14 décembre 2012

Sécurité des systèmes embarqués automobiles

Dernièrement je me suis intéressé à la sécurité des systèmes embarqués sur les voitures modernes. Les années passées ont connu pas mal d'actualité concernant le hacking des voitures. On parle souvent de failles de sécurité concernant les clés RFID ou encore de la possibilité de démarrer le véhicule sans la clé en passant directement l'ordre au système embarqué.

N'importe quelle voiture moderne comprend des dizaines de calculateurs, micro contrôleurs et autres automatismes. L'industrie automobile nomme ces systèmes embarqués des ECU (Electronic Control Unit). Une voiture comprend également un réseau interne de type CAN (Controller Area Network) qui permet à tous ses composants de dialoguer entre eux. Ce réseau interne est physiquement accessible grâce à une prise OBD II (On Board Diagnostics) standardisée dans le monde entier. Par cette prise il est possible d'effectuer des vérifications, de paramétrer la voiture, de diagnostiquer une panne, de reprogrammer l'ECU principal. C'est par ce port que votre concessionnaire effectue une vérification du bon fonctionnement de votre véhicule.

Un véhicule propose également souvent un sous-système multimédia qui permet d'y lire un CD ou d'y connecter un appareil USB. Ce système multimédia est très généralement lui aussi connecté et accessible par le CAN. On peut donc théoriquement accéder à l'ECU également par ce biais.

Ajoutez à cela les diverses connectivités sans fil supportées par la voiture : bluetooth pour synchroniser un téléphone, RFID pour la clé, TMPS (Tire Pressure Monitoring System) pour la pression des pneus, 3G ou WIFI si la voiture dispose d'un accès internet.

Et l'on peut même extrapoler vers un futur proche de flottes de véhicules communicants.

La plupart du temps aucun système de protection n'a été mis en place par le constructeur. Les véhicules nécessitent des millions de lignes de codes qui ne sont absolument pas développés avec la sécurité informatique à l'esprit. Certains modèles rares possèdent l'équivalent d'un pare-feu mais il n'est présent que pour protéger la propriété intellectuelle du fabricant.

De plus les constructeurs essayent de plus en plus de se différencier en proposant un app store pour leur voitures. Par exemple Ford avec son Ford Sync ou dernièrement Peugeot avec son Peugeot Connect Apps.

L'automobile est donc un nouveau terrain de jeu pour les hackers, les passionnés de tuning ou de système multimédia, les voleurs et les fraudeurs. Comme d'habitude au fur et à mesure que le grand public va s'emparer de cette technologie nous allons voir apparaître le pire comme le meilleur. Le meilleur viendra probablement de particuliers développant leur propre mod ou firmwares personnalisés, proposant ainsi de nouvelles fonctionnalités bien au-delà de ce que le constructeur avait envisagé. Niveau pire il faut s'attendre à une recrudescence des vols high-tech de voiture, de perte de données, d'atteinte à la vie privée et de surveillance à outrance.

Les Peugeot Connect Apps sur la 208

Référence intéressante: Une étude assez exhaustive de deux université américaines Comprehensive Experimental Analyses of Automotive Attack Surfaces et sa présentation en vidéo:


Aucun commentaire:

Enregistrer un commentaire