Voitures connectées : une vulnérabilité dangereuse dans le réseau de véhicules CAN

Des chercheurs et des ingénieurs ont déjà réussi à plusieurs reprises à pirater des voitures modernes fonctionnant avec Internet. Un exemple célèbre est le piratage de la Chrysler Jeep par les chercheurs Charlie Miller et Chris Valasek. Toutes ces démonstrations étaient basées sur certaines faiblesses de marques de voitures spécifiques. Dès que les vulnérabilités ont été rendues publiques, les fabricants les ont immédiatement fermées. Mais qu’en est-il si un piratage réussi affecte de manière drastique les performances et les fonctions de la voiture tout en étant indépendant du constructeur ? C’est exactement ce qu’a révélé une recherche conjointe de l’École polytechnique de Milan, de Linklayer Labs et de l’équipe de recherche prospective sur les menaces de Trend Micro (FTR).

Le point faible ne peut pas être comblé par la technologie moderne de sécurité pour les voitures à l’heure actuelle. Pour combler complètement cet écart, il faudrait modifier en profondeur les normes et la façon dont les réseaux et les dispositifs embarqués sont conçus. De manière réaliste, il faudrait toute une génération de véhicules pour remédier à une telle vulnérabilité, et pas seulement un rappel ou une mise à niveau OTA (à l’antenne).

Nous donnons des réponses à quelques questions qui sont vraisemblablement posées :

Une autre manifestation de “piratage de voitures” ? Quoi de neuf ?

La nouveauté de ce piratage est qu’il s’agit d’une attaque qui détruit un dispositif (par exemple un airbag, des capteurs de stationnement, des systèmes de sécurité active) qui est connecté au réseau de dispositifs de la voiture d’une manière invisible pour les mécanismes de sécurité à la pointe de la technologie.

Quels sont les principaux enseignements à tirer de cette recherche ?

Avoir accès au véhicule de quelqu’un d’autre est une situation quotidienne et il existe de nombreuses utilisations légitimes. Il est donc temps pour les organismes de normalisation, les décideurs et les constructeurs automobiles de prendre en compte cette nouvelle situation et de revoir la conception des systèmes cyberphysiques qui contrôleront les futures voitures en termes de sécurité.

Ma voiture est-elle touchée ?

Probablement oui. L’attaque est neutre du point de vue du fabricant. Toutefois, certains fabricants pourraient introduire des contre-mesures non standard pour rendre l’attaque plus difficile à réaliser.

La “Jeep Hack” n’était-elle pas l’attaque la plus avancée jusqu’à présent ?

Le “Jeep Hack” était en effet très avancé et efficace. Mais la technologie de cybersécurité embarquée actuellement disponible (par exemple, l’IDS/IPS accessoire) pourrait détecter une telle attaque car elle nécessite des capacités d’injection de trame. En outre, les constructeurs automobiles pourraient simplement mettre à jour le logiciel des dispositifs de la voiture pour combler les failles de sécurité que l’attaque a exploitées.

Combien de temps faudra-t-il aux constructeurs automobiles pour résoudre ce problème ?

Ce n’est pas la faute des constructeurs de véhicules, ni un problème qu’ils ont causé. Le problème de sécurité que nos recherches ont mis en lumière est la norme qui définit le fonctionnement du Car Device Network (CAN). Les constructeurs automobiles ne peuvent atténuer l’attaque qu’en mettant en œuvre certaines contre-mesures en réseau (comme nous l’avons montré), mais ils ne peuvent pas empêcher l’attaque tout à fait. Pour éliminer le risque, une mise à jour de la norme CAN devrait être proposée, adoptée et mise en œuvre. Tout ce processus nécessiterait une autre autogénération.

Erreur dans le système : le défaut de conception de la norme CAN

L’attaque abuse du protocole réseau qui relie tous les équipements embarqués (capteurs de stationnement, airbag, systèmes de sécurité active) et les systèmes (infotainment) et leur permet de communiquer. Par exemple, CAN (la norme à cet effet s’appelle Controller Area Network ou CAN) permet au système d’info-divertissement ou de sécurité de recevoir des messages de l’airbag pour savoir s’il doit appeler chez lui en cas d’accident.

La norme CAN est maintenant utilisée dans pratiquement tous les véhicules utilitaires légers et a été imposée par un tribunal fédéral américain comme étant la seule norme acceptable.

Les messages CAN, y compris les erreurs, sont appelés “frames”. L’attaque menée par les chercheurs portait sur la manière dont le RCA gère les erreurs. Ces erreurs se produisent lorsqu’un appareil lit des valeurs qui ne correspondent pas aux valeurs attendues à l’origine d’une trame. Si un appareil envoie trop d’erreurs au CAN, il est isolé pour éviter d’éventuels dysfonctionnements. C’est exactement ce dont les chercheurs ont profité et ont généré tellement d’erreurs que le dispositif cible a été isolé. Mais cela peut changer radicalement et dangereusement les performances du véhicule concerné, en particulier si des systèmes importants tels que les airbags ou les freins antiblocage sont désactivés.

Il suffit d’un dispositif d’attaque spécialement créé qui est inséré dans le CAN du véhicule via un accès local et la réutilisation des cadres qui circulent déjà dans le CAN. Une description plus détaillée se trouve dans l’article original.

Vulnérabilités des véhicules modernes à distance ou accessibles localement

Souvent, les preuves de la faisabilité du piratage des véhicules sont rejetées au motif qu’un accès local au véhicule est nécessaire. D’une part, l’attaque actuelle peut être réalisée avec n’importe quelle vulnérabilité exploitable à distance qui permet à l’attaquant de reprogrammer le micrologiciel d’une ECU (par exemple, un système d’info-divertissement). D’autre part, les attaques locales doivent également être prises au sérieux. Traditionnellement, le scénario dans lequel un agresseur pourrait accéder localement à un véhicule est rare et très risqué pour l’acteur. Mais aujourd’hui, la situation est en train de changer en raison de tendances telles que le covoiturage, le covoiturage et la location de voitures. Par conséquent, un changement de paradigme dans la cybersécurité des véhicules est également nécessaire.

Contre-mesures

Il n’y a pas de solution à court terme au problème car, comme nous l’avons déjà mentionné, le point faible est la conception. Certaines solutions à long terme peuvent aider à lutter contre de tels exploits :

La segmentation du réseau ou la modification de la topologie d’un réseau CAN peut empêcher le flot d’erreurs ciblé d’affecter un système particulier.

Accès réglementé au port de diagnostic OBD-II : la création d’une clé matérielle spéciale ou d’un mot de passe pour ouvrir le conteneur dans lequel le port est physiquement situé peut aider à prévenir l’introduction de dispositifs illégaux ou non autorisés. La mise en œuvre d’une authentification au niveau du logiciel pour permettre le trafic à destination et en provenance du port devrait également être envisagée. Cela nécessiterait une modification des règlements.