La semaine dernière, Sam Curry, un chercheur en sécurité des applications Web, a partagé les détails de failles détectées dans certains modèles de voitures de plusieurs grands constructeurs automobiles, tels que BMW, Land Rover, Mercedes-Benz et Toyota. Sandeep Singh, de HackerOne, nous donne ici son point de vue sur la question.
Des vulnérabilités inquiétantes ont été identifiées, dont la gravité varie selon les modèles. Dans certains cas, certaines failles donneraient la possibilité au cybercriminel de déverrouiller le véhicule, de le démarrer, de le déclarer volé ou encore de suivre ses déplacements. En outre, des vulnérabilités API ont été également découvertes, qui pourraient permettre à un cybercriminel d’accéder à des informations sensibles. Sandeep Singh, directeur principal des Services Techniques chez HackerOne, partage son analyse. Pour lui, l’interconnectivité de nos appareils du quotidien complexifie la sécurisation des voitures.
Des cyberattaques en hausse de 225 %
« Les chiffres le montrent clairement : les cyberattaques sur les voitures ont augmenté de 225 % au cours des trois dernières années et 84,5 % de ces attaques ont été exécutées à distance. Les acteurs de la menace sont naturellement attirés par l’appât du gain facile, et puisque nos smartphones contrôlent désormais de plus en plus d’appareils, y compris nos voitures, il n’est pas surprenant de voir une hausse des attaques visant l’industrie automobile. »
Complexité des systèmes et connaissance des réglementations
À mesure que la technologie automobile devient plus avancée, la complexité des systèmes logiciels augmente également, explique le spécialiste.
« Identifier les vulnérabilités créées par le développement de fonctionnalités “intelligentes” nécessite une connaissance approfondie des systèmes logiciels et matériels et une compréhension des protocoles spécifiques aux véhicules connectés. »
« Qui plus est, une connaissance des réglementations en matière de sécurité des véhicules, notamment les normes ISO 26262 et ISO 21434, est nécessaire pour mettre en place des stratégies de sécurité efficaces pour protéger les véhicules connectés. Ces compétences sont relativement rares. »
L’intérêt de s’entourer de hackers éthiques
Dans ce contexte spécial, le hacking éthique apporte une solution. De plus en plus de constructeurs collaborent désormais avec des hackers qui sont disponibles pour identifier et combler les failles de sécurité détectées dans les systèmes automobiles complexes : le Hacker Report 2022 a notamment montré une augmentation de 400 % des programmes de hacking éthique dans le secteur automobile depuis 2021. Et avec le développement de nouveaux modèles toujours plus connectés et sophistiqués, la tendance devrait clairement s’intensifier.
Certaines estimations tablent sur plus de 400 millions de véhicules connectés en circulation dans le monde d’ici à 2025. De quoi séduire les cybercriminels. Selon Gartner, l’industrie automobile devrait « s’associer à des experts en cybersécurité capables d’évaluer et de proposer un large éventail de contremesures […], et suivre le rythme des cybercriminels. »
Hélène Saire
