En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création de site Internet vitrine pour un artisan menuisier
    <1000 €
    > En savoir plus
  • Projet Location / Achat Base de Données
    A déterminer €
    > En savoir plus
  • Création d'un site E-commerce dans la lingerie et gadgets pour adultes
    < 5 000 €
    > En savoir plus
Tessi_Cetia_leaderboard

Piratage d’une Jeep Cherokee : 5 questions à Hervé Schauer, DG de HSC by Deloitte

Primobox_Demat RH_pave 2

Alors qu’un journaliste du magazine Wired et deux complices hackers ont démontré qu’il était possible de prendre le contrôle à distance d’une voiture, nous avons voulu en savoir plus. Nous avons posé 5 questions sur le sujet à Hervé Schauer, directeur général de HSC by Deloitte, spécialiste conseil et audit en sécurité des systèmes d’information.

 

Solutions numériques
Que pensez-vous de l’exploit des chercheurs et journalistes américains qui ont réussi à prendre le contrôle de l’ordinateur de bord d’un Cherokee aux Etats-Unis ?

Hervé Schauer
C’est la redite d’une étude universitaire faite avec des restrictions d’usage et de détail http://www.autosec.org/pubs/cars-oakland2010.pdf. Sauf que personne n’a parlé de cette étude universitaire. Ici, c’est sensationnalisé à la sauce Wired (« Attention j’ai failli  mourir ! »), avec une mise en scène qui va au-delà de la réalité du danger. C’est du journalisme spectacle. Au point que certains trouvent l’expérience irresponsable (http://taosecurity.blogspot.fr/2015/07/going-too-far-to-prove-point.html). Résultat, tout le monde en parle de façon alarmiste : http://www.theregister.co.uk/2015/07/21/jeep_patch/

 

SN Au-delà de ce cas, pensez-vous que les systèmes et OS embarqués dans les voitures d’aujourd’hui et de demain posent des problèmes en termes de sécurité ?

HS L’ordinateur de bord, relié a internet pour les véhicules les plus haut de gamme, sont également reliés a l’ensemble des éléments de contrôle de la voiture (moteur, freins, direction, etc.)…. C’est évident que oui, il y a pléthores de problèmes de sécurité.

 

SN Quelles mesures prendre pour les empêcher ?

HS De la sécurité de base serait déja bien : cloisonner les réseaux et applications, former les développeurs, ne pas raccorder à un réseau public ce qui devrait rester un réseau privé, c’est-à-dire cloisonner le réseau de contrôle de la voiture de celui multimédia/Internet, et cloisonner entre usagers. C’est le B-A-BA. Et faire du logiciel de qualité. Pour cela être responsable légalement, pénalement, des failles de sécurité. Un constructeur dont la voiture ne freine pas quand le conducteur appui sur la pédale est-il responsable ? Quand c’est un logiciel qui n’a pas freiné, le conducteur de la voiture a cliqué sur « oui j’accepte les conditions », conditions qui disent qu’en cas d’erreur dans le logiciel le constructeur n’est pas responsable… mais le conducteur qui a utilisé le logiciel.

 

SN Les constructeurs automobiles sont-ils vraiment conscients des risques ?

HS Ils ont de nombreux communicants sur l’affaire. Preuve qu’ils sont conscients du risque d’image. L’article de Wired indique que les Européens sont un peu plus au courant que les autres, et les japonais un peu en retard. Je ne travaille qu’en Europe sur ces sujets mais je confirme plutôt son avis sur la maturité des constructeurs européens.

 

SN Font-ils appel à des sociétés de conseil ou, si vous le savez, disposent-ils d’experts dans le domaine ?

HS En Europe les constructeurs procèdent à des audits de sécurité et font appel à des sociétés spécialisées. Le micro constructeur américain Tesla a publiquement beaucoup recruté en sécurité, ils ont organisé des concours de piratage de leur voiture, exemple le modèle S à DEFCON 2014. Ils sont aussi un programme de bug bounty (https://bugcrowd.com/tesla). Mais Tesla, ce n’est pas Toyota, ni apparemment Chrysler. Il ne faut pas oublier qu’un constructeur de voiture fait le design et l’assemblage de composants conçus séparément, il est un intégrateur, et tout est mis sur le même réseau et le même ordinateur de bord. Il y a alors des problèmes d’homogénéité inévitables. Sur la qualité du code, je rappelle que dans l’expertise judiciaire faite sur le logiciel Toyota dans le cadre de leur procès « bug qui tue » [NDLR : en 2013, un bug logiciel de la Toyata Camry entraînait une accélération incontrôlée de la voiture], le code était décrit comme un « inextricable spaghetti bowl ». Voir ici : http://www.safetyresearch.net/blog/articles/toyota-unintended-acceleration-and-big-bowl-%E2%80%9Cspaghetti%E2%80%9D-code

 

Auteur : Juliette Paoli

Piratage d’une Jeep Cherokee : 5 questions à Hervé Schauer, DG de HSC by Deloitte
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Cybersécurité : le projet de loi de transposition de la directive NIS adopté en 1ère lecture

    Présenté au Sénat par le secrétaire d’Etat au Numérique, Mounir Mahjoubi, le projet de loi…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • 5 grandes évolutions qui domineront et impacteront les 12 prochains mois en cybersécurité 

    Prédictions sécurité pour 2018 : Pierre-Yves Popihn, directeur Technique France chez NTT Security, liste 5…

    > En savoir plus...
Etudes/Enquêtes
  • Infographie - Les coûts des activités cybercriminelles de l'année et à venir

    Bitdefender a réalisé une infographie mettant en avant les coûts qu’ont générés les activités cybercriminelles,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Lean_skycraper
Agenda
livres blancs
Les Livres
Blancs
GlobalK_Lean_skycraper