En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Jalios_Digital Summit 2017_leaderboard

Piratage d’une Jeep Cherokee : 5 questions à Hervé Schauer, DG de HSC by Deloitte

Bomgar_Cybersecurity_pave

Alors qu’un journaliste du magazine Wired et deux complices hackers ont démontré qu’il était possible de prendre le contrôle à distance d’une voiture, nous avons voulu en savoir plus. Nous avons posé 5 questions sur le sujet à Hervé Schauer, directeur général de HSC by Deloitte, spécialiste conseil et audit en sécurité des systèmes d’information.

 

Solutions numériques
Que pensez-vous de l’exploit des chercheurs et journalistes américains qui ont réussi à prendre le contrôle de l’ordinateur de bord d’un Cherokee aux Etats-Unis ?

Hervé Schauer
C’est la redite d’une étude universitaire faite avec des restrictions d’usage et de détail http://www.autosec.org/pubs/cars-oakland2010.pdf. Sauf que personne n’a parlé de cette étude universitaire. Ici, c’est sensationnalisé à la sauce Wired (« Attention j’ai failli  mourir ! »), avec une mise en scène qui va au-delà de la réalité du danger. C’est du journalisme spectacle. Au point que certains trouvent l’expérience irresponsable (http://taosecurity.blogspot.fr/2015/07/going-too-far-to-prove-point.html). Résultat, tout le monde en parle de façon alarmiste : http://www.theregister.co.uk/2015/07/21/jeep_patch/

 

SN Au-delà de ce cas, pensez-vous que les systèmes et OS embarqués dans les voitures d’aujourd’hui et de demain posent des problèmes en termes de sécurité ?

HS L’ordinateur de bord, relié a internet pour les véhicules les plus haut de gamme, sont également reliés a l’ensemble des éléments de contrôle de la voiture (moteur, freins, direction, etc.)…. C’est évident que oui, il y a pléthores de problèmes de sécurité.

 

SN Quelles mesures prendre pour les empêcher ?

HS De la sécurité de base serait déja bien : cloisonner les réseaux et applications, former les développeurs, ne pas raccorder à un réseau public ce qui devrait rester un réseau privé, c’est-à-dire cloisonner le réseau de contrôle de la voiture de celui multimédia/Internet, et cloisonner entre usagers. C’est le B-A-BA. Et faire du logiciel de qualité. Pour cela être responsable légalement, pénalement, des failles de sécurité. Un constructeur dont la voiture ne freine pas quand le conducteur appui sur la pédale est-il responsable ? Quand c’est un logiciel qui n’a pas freiné, le conducteur de la voiture a cliqué sur « oui j’accepte les conditions », conditions qui disent qu’en cas d’erreur dans le logiciel le constructeur n’est pas responsable… mais le conducteur qui a utilisé le logiciel.

 

SN Les constructeurs automobiles sont-ils vraiment conscients des risques ?

HS Ils ont de nombreux communicants sur l’affaire. Preuve qu’ils sont conscients du risque d’image. L’article de Wired indique que les Européens sont un peu plus au courant que les autres, et les japonais un peu en retard. Je ne travaille qu’en Europe sur ces sujets mais je confirme plutôt son avis sur la maturité des constructeurs européens.

 

SN Font-ils appel à des sociétés de conseil ou, si vous le savez, disposent-ils d’experts dans le domaine ?

HS En Europe les constructeurs procèdent à des audits de sécurité et font appel à des sociétés spécialisées. Le micro constructeur américain Tesla a publiquement beaucoup recruté en sécurité, ils ont organisé des concours de piratage de leur voiture, exemple le modèle S à DEFCON 2014. Ils sont aussi un programme de bug bounty (https://bugcrowd.com/tesla). Mais Tesla, ce n’est pas Toyota, ni apparemment Chrysler. Il ne faut pas oublier qu’un constructeur de voiture fait le design et l’assemblage de composants conçus séparément, il est un intégrateur, et tout est mis sur le même réseau et le même ordinateur de bord. Il y a alors des problèmes d’homogénéité inévitables. Sur la qualité du code, je rappelle que dans l’expertise judiciaire faite sur le logiciel Toyota dans le cadre de leur procès « bug qui tue » [NDLR : en 2013, un bug logiciel de la Toyata Camry entraînait une accélération incontrôlée de la voiture], le code était décrit comme un « inextricable spaghetti bowl ». Voir ici : http://www.safetyresearch.net/blog/articles/toyota-unintended-acceleration-and-big-bowl-%E2%80%9Cspaghetti%E2%80%9D-code

 

Auteur : Juliette Paoli

Piratage d’une Jeep Cherokee : 5 questions à Hervé Schauer, DG de HSC by Deloitte
Notez cet article

Laisser un commentaire

Formations Cloud Computing

Les services IT ont plus que jamais besoin de formations pour soutenir leurs processus d’amélioration continue et de performance. Global Knowledge offre un vaste catalogue de formations Cloud.

Plus d’info

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Tribune - La blockchain expliquée à ma mère

    "En 1995, le journaliste Clifford Stoll écrivait à propos d'Internet qu'il s'agissait d'une technologie distante…

    > En savoir plus...
Etudes/Enquêtes
  • Smarphones et tablettes Android : hausse de 40 % des cyberattaques

    Une nouvelle enquête menée par Avast révèle que Les cyberattaques à l’encontre des smartphones et…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • INTÉGRATION DE LA COMMUNICATION MULTICANAL

    > Voir le livre
  • Cloud hybride : réussir l’externalisation de votre SI en 4 étapes

    > Voir le livre
Global Knowledge_Docker_Skycraper