Maintenant que les voitures sont connectées, se pose la question de leur sécurité contre des cyberattaques. Aux États-Unis, le régulateur a mis en ligne toute une série de recommandations, mais sans aucune obligation, ce que regrettent déjà certains.
Il y a un peu plus d'un mois, le National Highway Traffic Safety (NHTSA), qui dépend du département américain du transport (DOT), publiait de nouvelles règles (voir notre analyse) sur les voitures autonomes afin de simplifier les procédures pour les demandes d'expérimentations. Le but étant d'« envisager un avenir où vous pouvez enlever les mains du volant ». Aujourd'hui, le régulateur des transports américains publie « des recommandations » pour améliorer la sécurité des voitures connectées (et donc autonomes).
Plusieurs séries de voitures se sont déjà fait « pirater »
Les automobiles intègrent de plus en plus de composants électroniques et les véhicules connectés ne sont pas rares, une tendance qui devrait d'ailleurs largement se renforcer au fil des années. Afin d'améliorer les performances ou ajouter des fonctionnalités, les fabricants peuvent ainsi mettre à jour leurs voitures à distance via Internet (comme un smartphone, une tablette, une montre, etc.).
Mais cette ouverture sur le monde n'est pas sans poser quelques problèmes de sécurité. Les cas pratiques sont déjà nombreux avec, par exemple, une faille identifiée par l'association allemande ADAC, qui permettait d'ouvrir une BMW à distance, une prise de contrôle à distance d'une Jeep et une brèche dans les Tesla Model S. Suivant les cas, une simple mise à jour OTA a suffi à résoudre le problème, mais les conséquences pourraient être plus graves.
Règle de base : ne pas sous-estimer les risques
Dans le monde de l'automobile, comme dans celui de l'informatique (il n'y a qu'à voir le cas des objets connectés qui servent à créer des botnets), les pratiques en matière de sécurité sont encore loin d'être satisfaisantes. C'est justement sur ce point que se penche la NHSTA avec son guide de bonnes pratiques.
Le régulateur n'y va pas par quatre chemins et indique dès le début que les fabricants doivent prendre des mesures afin de « garantir que les systèmes de leurs véhicules sont conçus pour prendre des actions appropriées et sûres, même si une cyberattaque est réussie ». En clair, elle rappelle que le risque zéro n'existe pas et qu'il faut en tenir compte lors de la conception.
De plus, les constructeurs doivent prendre en compte la durée de vie complète d'une voiture connectée, en prévoyant d'apporter des correctifs rapidement aussi souvent que nécessaire.
Des recommandations pour le moment, à défaut d'obligations
Plus en détail, voici quelques-une des recommandations faites à toute la profession (fabricants de voitures, équipementiers et l'ensemble des partenaires) : dédier des ressources à la cybersécurité, mettre en place un système pour une remontée des failles aux responsables (comme on en trouve déjà chez de nombreuses sociétés informatiques), se poser les bonnes questions (exemple : « que peut-il se passer si mon système est compromis ? »), limiter au maximum ou supprimer les accès pour du débug (physique ou logique), généraliser le chiffrement des données et des transmissions, mettre en place un système de logs, surveiller l'ensemble des communications de la voiture, etc. Autant de choses qui peuvent paraitre évidentes, mais qui ne le sont malheureusement pas toujours.
Dans tous les cas, les constructeurs n'ont pas attendu pour se pencher sur la question et, courant juillet, l'association AUTO ISAC, qui regroupe plusieurs fabricants, a mis en ligne son guide de bonnes pratiques. Elle a également annoncé qu'elle étudierait ce guide, sans donner plus de détails.
Des sénateurs veulent aller plus loin
Mais certains regretteront surement que le régulateur américain n'aille pas plus en loin en imposant des règles plutôt qu'en soumettant simplement des recommandations, sans caractère obligatoire donc.
Nos confrères de Reuters ajoutent d'ailleurs que deux sénateurs démocrates – Ed Markey, élu du Massachusetts, et Richard Blumenthal, du Connecticut – souhaiteraient aller plus loin : « Si les voitures modernes sont des ordinateurs sur roues, nous avons besoin de normes obligatoires, pas de recommandations sur la base du volontariat, pour faire en sorte que nos véhicules ne puissent pas être piratés et que des vies et des informations ne soient pas menacées ». La suite au prochain épisode.