Petit déjeuner INCYBER : La cybersécurité, une condition pour le développement des mobilités

Quelques jours après la publication du rapport de l’Anssi sur la cybersécurité des transports urbains, INCYBER a organisé une table ronde sur la cybersécurité des mobilités. Une thématique d’autant plus d’actualité que tous les véhicules modernes sont désormais connectés. S’il n’y a pas eu de morts dues à une cyberattaque sur le système de conduite d’un véhicule et que le spectre d’une attaque immobilisant des milliers, voire des millions de véhicules reste purement hypothétique, les constructeurs et le législateur doivent écarter ces risques. Pour le Général Marc Watin–Augouard, fondateur du Forum INCYBER, « cette thématique de la mobilité connectée va très largement dépasser la voiture autonome. Elle concerne déjà les navires, les moyens de transport collectifs. Il faut aussi réfléchir à ce qui est fixe : dans le concept de Smart City, d’IoT, quand on sait qu’avec la 6G il y aura un million d’objets connectables au km2, il faudra gérer les interactions entre tous ces objets. Demain, tout objet qui se déplace et même le piéton devra être connecté, connu et reconnu, ce qui pose des problèmes évidents en termes de liberté individuelle… »

La menace cyber pèse sur tous les moyens de transport et ce risque est aujourd’hui bien connu. Sadio Bâ, coordinateur sectoriel “Transport” à l’Anssi, a notamment souligné que si la menace cyber est habituellement motivée par l’appât du gain, l’espionnage et le sabotage, l’argent reste le moteur numéro 1 des attaquants vis-à-vis des systèmes de transport : « Sans surprise, dans le transport urbain, 80% de la menace provient de gens qui veulent faire de l’argent. C’est vrai dans tous les secteurs, mais ce qui nous inquiète le plus, c’est le risque de sabotage car une attaque peut affecter la vie des individus. » L’expert souligne que les constructeurs sont confrontés, depuis quelques années, à trois évolutions concomitantes : d’une part, la marche vers la mobilité propre et l’électromobilité, d’autre part, l’augmentation des fonctions de délégation de conduite avec l’ADAS et l’ADAS+ jusqu’à l’autonomie de niveau 4, et enfin, le véhicule connecté pour offrir des services supplémentaires, mais aussi, créer une chaîne de valeur avec de nouveaux acteurs. 

Sadio Bâ pointe le travail réalisé par l’industrie automobile qui, en quelques années seulement, s’est transformée pour basculer dans l’ère digitale : « C’est une performance notable pour une industrie séculaire comme l’industrie automobile. Aujourd’hui, le numérique représente 50% de la valeur du véhicule. Ils ont dû investir de nouveaux champs de compétences et ils ont réussi, en 3 ans, à sortir une réglementation au niveau mondial, avec un volet d’exigences relatif à la cybersécurité pour l’homologation des véhicules. » Cette réglementation est entrée en vigueur en 2024 et si l’expert ne juge pas les mesures totalement satisfaisantes, il reconnaît l’effort délivré par cette industrie qui partait de zéro.

Eric Dequi, Expert Senior en architecture Electronique Automobile et Responsable de la Cybersécurité des véhicules connectés chez Stellantis, explique que les multiples réglementations qui pèsent sur le secteur sont parfois antinomiques : « Si on prend l’exemple de la donnée personnelle : les trajets de navigation GPS, le répertoire téléphonique et ce que vous écoutez à la radio sont des données personnelles. Et sur ce plan, le RGPD nous a cadrés. Par contre, l’appel d’urgence, obligatoire depuis 2018, impose une carte SIM dans tous les véhicules. En cas d’accident, l’airbag se déclenche et toute une séquence se déclenche en aval, avec l’envoi d’un SMS de géolocalisation et l’initiation d’un appel téléphonique. Connecté au backoffice, cela permet de dépêcher les secours plus rapidement. Une réglementation impose d’être connecté en permanence, et l’autre, le RGPD, impose un droit à la déconnexion… » De même, le règlement R155 impose notamment aux constructeurs la fermeture du port OBD, c’est-à-dire la prise de diagnostic du véhicule. Or le texte européen « Repair and Maintenance Information » leur impose d’ouvrir cette prise pour la réparation indépendante du véhicule… 

La mise à jour à distance des véhicules, déjà mise en œuvre par Tesla depuis 2014, reste un défi de taille pour les constructeurs. Pousser les mises à jour de sécurité en OTA (Over The Air) permettra aux constructeurs d’éviter de coûteux rappels de véhicules dans leurs concessions. Mais le risque est évident : en cas d’attaque sur la Supply Chain logicielle, un malware peut être injecté dans le véhicule…

On se souvient la prise de contrôle d’un Jeep Cherokee en 2015 par des hackers éthiques ; si l’affaire n’a eu aucune conséquence directe pour les clients de la marque, cette mésaventure a coûté très cher au constructeur : 1,4 million de véhicules ont été rappelés pour une mise à jour indispensable, et une class-action lancée par 2 000 clients réclamant 2 000 $ pour la dépréciation de leur véhicule. Au total, la faille de sécurité a coûté plus d’un demi-milliard de dollars pour 0 mort et 0 blessé…

Le Cyber by design devient la règle 

Le digital accroît la surface d’attaque des véhicules et les constructeurs doivent prendre en compte le risque cyber dès la conception initiale des véhicules. « Le Cyber by Design consiste à segmenter les zones infotainment et les zones sécurisées qui portent sur les éléments de conduite » résume Patrick Loustalet, Responsable des projets Cybersécurité à Software Republique, l’écosystème d’open innovation mis en place par Renault Group avec Atos, Dassault Systèmes, JCDecaux, Orange, Thales et STMicroelectronics. « Lorsqu’on lance une voiture, l’évolution de la menace fait que de nouveaux risques apparaissent constamment. Il faut être capable de monitorer ces véhicules tout au long de leur cycle de vie. » Dans ce but, Software Republique, en association avec Thales et Sysgo développe un système de monitoring cyber des véhicules. Celui-ci met en œuvre des sondes réseaux embarquées et la détection s’appuie sur des scénarios d’attaque régulièrement mis à jour par une équipe dédiée. « Ces sondes vont au-delà de la réglementation. Un module de filtrage permet de limiter la bande passante nécessaire à la transmission des informations entre la partie embarquée et la partie débarquée de l’architecture. » En effet, des téraoctets de données sont échangés sur le réseau interne du véhicule, mais entre le onboard et le offboard, le volume n’est plus que de l’ordre de 1 à 2 Go par an pour des raisons de coûts réseaux. « L’enjeu du système est de filtrer les données pour laisser passer uniquement les informations pertinentes. On mène ensuite deux types de traitements : soit la détection de scénarios d’attaque connus et documentés par les PenTesters ou des consortiums comme le MITRE. Nous utilisons aussi l’Intelligence Artificielle pour faire de la détection d’anomalie à partir d’une observation du système dans son fonctionnement normal. » Les 80 calculateurs d’un véhicule ne sont pas sous écoute. Le système se concentre sur les parties les plus exposées du véhicule, notamment afin de déjouer une attaque depuis un serveur, ce qui est certainement le risque le plus élevé pour un constructeur.

La gendarmerie doit de plus en plus se tourner vers les constructeurs

La gendarmerie est aux premières loges pour observer cette évolution du secteur et le gain en maturité des véhicules modernes. « Avant la réglementation de 2018, les hackers avaient pu prendre la main sur un véhicule en mettant en place un faux réseau cellulaire sur lequel le véhicule venait se connecter. En faisant un simple rejeu du trafic réseau, les hackers sont parvenus à verrouiller/déverrouiller un véhicule et récupérer des informations » explique le Capitaine Geoffroy Philippe, membre du Laboratoire du véhicule numérique à la division des enquêtes spécialisées du COMCYBER-MI. « Aujourd’hui, la réglementation cyber ne permet plus ce type d’attaque. » Ce laboratoire réalise une autopsie numérique des véhicules afin d’apporter des preuves matérielles aux enquêteurs. Dans le cadre du droit, les gendarmes mettent notamment en œuvre des cyberattaques physiques sur les véhicules pour extraire des données utiles aux enquêtes. Ils réalisent par exemple de l’exécution de code via les ports USB du système d’infodivertissement. « Dans la plupart des cas, ces vulnérabilités sont aujourd’hui patchées » reconnaît le gendarme. « Néanmoins, on peut récupérer des données personnelles par ce moyen sur certains véhicules. Il y a de moins en moins ce type de vulnérabilité sur les véhicules récents, ce qui impose de se pencher sur la partie hardware et sur la carte électronique afin d’extraire les données directement au niveau des composants. Cela est rendu plus complexe avec la réglementation qui oblige le chiffrement des données et le verrouillage de certains composants lorsqu’on essaye de les initialiser. » Le laboratoire de la gendarmerie travaille avec les constructeurs pour contourner les sécurités mises en place et obtenir les informations stockées par les véhicules. « Avec les nouvelles réglementations qui obligent les constructeurs à chiffrer les données, nous avons de plus en plus de difficultés à accéder aux données personnelles des véhicules, et c’est plutôt bien. Nous tissons de plus en plus de partenariats avec les constructeurs afin de pouvoir récupérer les données et les interpréter avec leur concours. »

Les chercheurs en cyber ont besoin de véhicules

Les autorités doivent de plus en plus solliciter les constructeurs pour accéder aux données protégées, mais les hackers éthiques ont aussi besoin de leur coopération pour leur donner les moyens de trouver les vulnérabilités de leurs véhicules. « Nous avons besoin de voitures pour travailler ! », c’est le message qu’a voulu faire passer Gaël Musquet, Hacker éthique au Lab Cyber du Campus Cyber. « Le Lab Cyber fait partie d’un programme de transfert du Campus Cyber (PTCC) de l’INRIA pour créer des liens entre le monde de la recherche et le monde industriel, notamment sur le matériel, car, au final, tous ces efforts de réglementation et d’homologation doivent se traduire au final sur le matériel. » Rappelant que 140 000 voitures sont volées chaque année en France, le hacker a rappelé les cinq surfaces d’attaque d’un véhicule : Outre la couche physique avec la clé et les ouvertures du véhicule, la deuxième couche regroupe la radio, le Wifi, le Bluetooth. La troisième surface d’attaque porte sur l’électronique et l’accès aux bus de données du véhicule via les câbles. Viennent ensuite les logiciels et enfin, les données. « Pour tester tout cela, nous avons besoin de voitures. De la même façon que les constructeurs ont un pool de véhicules pour la presse, nous devons avoir accès aux véhicules pour les tester. Les gendarmes ont les mêmes difficultés. Il faut arriver à obtenir la même chose qu’Euro N-CAP, qui dispose de véhicules pour mener ses crash-tests. »

L’expert souligne qu’en termes de sécurité des systèmes embarqués, plusieurs communautés Open Source travaillent sur la question et proposent déjà des solutions. « Dans ce cadre, la collaboration est importante et il y a de grandes communautés Open Source comme la fondation Linux et la fondation Eclipse qui s’intéressent au sujet. Il y a notamment le projet AGL (Automotive Grade Linux) qui a été choisi par Toyota pour équiper ses véhicules. Quand le premier constructeur mondial Toyota choisit AGL pour ses systèmes d’infotainment, cela doit nous interpeller. » Gaël Musquet explique que Toyota a fait ce choix pour ne pas dépendre d’Apple ou de Google pour ses systèmes d’infotainment. Il plaide pour une souveraineté des industriels européens vis-à-vis des GAFAM.

Le prochain Petit-dejeuner INCYBER se tiendra le 26 juin 2025 à la Casernes des Célestins (Paris – 75004) en Partenariat avec HEXATRUST sur la thématique « Cybersécurité : nouveaux acheteurs, nouvelles stratégies ? »

Longtemps chasse gardée des RSSI, la cybersécurité mobilise aujourd’hui une diversité croissante d’acteurs au sein des organisations. Si les RSSI restent des piliers incontournables dans la définition des stratégies de sécurité, les décisions d’achat associent désormais plus largement les métiers, l’IT, la data ou encore l’innovation, qui contribuent activement à orienter les choix et à en porter les budgets.  Comment la sécurité s’intègre-t-elle dans des projets de transformation plus globaux ? Et quels sont les nouveaux défis pour les fournisseurs, entre exigences techniques et logique d’usage ?