Car Hacking : audits de sécurité pour les voitures connectées

piratage de voiture

Les voitures sont peu à peu passées de la mécanique pure à des technologies de plus en plus sophistiquées et avec un plus grand pourcentage d'électronique impliquée dans leur fonctionnement, non seulement dans l'habitacle ou dans le système d'infodivertissement, mais aussi pour le contrôle de certaines fonctions du moteur, pour surveiller les paramètres avec des capteurs. , et également pour mettre en œuvre tous les appels ADAS et les dernières ADS. C'est pourquoi, piratage de voiture devient de plus en plus important.

Les nouvelles voitures connectées et autonomes sont vulnérables à certaines attaques, pour cette raison, connaître le piratage automobile et réaliser des audits de sécurité sur les véhicules peut être intéressant à gérer. détecter et combler les failles de sécurité qui pourrait être exploité par des cybercriminels.

Qu’est-ce que le piratage de voiture ?

piratage de voiture

El piratage de voiture est une branche de la cybersécurité qui se concentre sur l'exploitation des vulnérabilités des systèmes électroniques des véhicules. À mesure que les voitures deviennent plus connectées et autonomes, elles deviennent également plus vulnérables à ce type d’attaques, puisqu’il s’agit essentiellement de systèmes informatiques sur roues…

Les attaquants peuvent accéder aux systèmes d'un véhicule à travers diverses méthodes, comprenant:

  • Réseaux sans fil- Exploiter les vulnérabilités des réseaux Wi-Fi, Bluetooth ou mobiles du véhicule pour accéder à distance au système d'infodivertissement et à d'autres sous-systèmes connectés.
  • Ports de diagnostic- En accédant physiquement au port de diagnostic OBD-II pour manipuler les systèmes du véhicule.
  • Bus: comme dans le cas du CAN, une norme dans les voitures qui peut être vulnérable et qui relie les différents calculateurs du véhicule.
  • Vulnérabilités logicielles: Exploitation de bugs ou de vulnérabilités dans les logiciels du véhicule, y compris le système d'exploitation, les applications et les protocoles de communication.
  • Autres: Il peut également y avoir des faiblesses dans les systèmes de verrouillage des véhicules basés sur RF, qui permettent d'ouvrir les portes en cas de vol, et même de démarrer le véhicule.

Les cibles d'attaques le piratage automobile est diversifié et peut aller du vol des voitures elles-mêmes par déverrouillage et démarrage, à l'espionnage de leurs occupants (données personnelles, itinéraires, localisation actuelle...), et même au sabotage en manipulant les systèmes de conduite des véhicules ou les systèmes ADAS, ce qui pourrait conduire à un accident mortel.

accident trafic vulnérabilité cyberattaque

Pour l'obtenir, techniques d'attaque utilisés par les cybercriminels, et les mêmes que ceux utilisés par les hackers éthiques pour localiser et tenter de renforcer le système, sont issus de l'ingénierie inverse d'éléments logiciels ou matériels d'un modèle de véhicule identique à celui qu'ils souhaitent attaquer pour détecter les vulnérabilités et les exploiter. , aux attaques par force brute pour accéder à des services avec un mot de passe, à l'ingénierie inverse, au reniflage du trafic dans les communications, par injection de code malveillant dans les systèmes du véhicule, à d'autres comme les attaques par relais, qui interceptent et retransmettent des signaux sans fil pour ouvrir ou démarrer le véhicule, fuzzing, etc. Dans le cas des voitures autonomes, le problème peut être encore pire, puisqu'une vulnérabilité dans le système de conduite pourrait donner à l'attaquant la possibilité de modifier l'itinéraire de destination, de déplacer la voiture à distance et même de provoquer un accident.

De plus, ils deviennent de plus en plus importants techniques d'atténuation, de la mise en œuvre du cryptage sur le bus CAN au renforcement des systèmes d'authentification, en passant par d'autres techniques telles que la surveillance des réseaux et des intrus, la mise en œuvre de mesures de pare-feu réseau et de logiciels de protection contre les logiciels malveillants, ou même des systèmes basés sur l'IA pour détecter les modèles d'attaque et prédire les menaces.

Exemples d'attaques réelles

Les de véritables attaques contre des véhicules Ils nous offrent une leçon précieuse sur les vulnérabilités existantes et les techniques utilisées, tout en nous avertissant des problèmes possibles à l'avenir. Certains des cas les plus connus incluent :

  • Jeep Cherokee Hack: En 2015, des chercheurs en sécurité ont démontré comment ils pouvaient contrôler à distance une Jeep Cherokee via son système d'infodivertissement, en prenant le contrôle des freins, de la direction et du moteur. Cette affaire a mis en évidence la vulnérabilité des systèmes connectés à Internet dans les véhicules.
  • Piratage de Tesla: Bien que Tesla ait mis en place des mesures de sécurité strictes, des cas de pirates informatiques ayant réussi à déverrouiller des véhicules et à accéder à leurs systèmes ont été signalés. Cela souligne l’importance de maintenir les systèmes de sécurité à jour et d’être à l’affût de nouvelles vulnérabilités.
  • Autres: Il y a également eu des nouvelles d'attaques contre d'autres modèles et marques bien connus tels que BMW, Mercedes-Benz et Audi, qui ont également fait l'objet d'attaques par relais, de vols d'informations, etc.

Et si on compte le possible portes arrières que certains constructeurs pourraient implémenter dans leurs unités, alors les choses deviennent encore plus troubles...

Aspects légaux

les aspects légaux

L'inquiétude croissante concernant la sécurité des véhicules connectés a conduit à la mise en œuvre de nouvelles réglementations et normes:

  • CEE-ONU R155- Règlement des Nations Unies fixant les exigences de cybersécurité pour les véhicules connectés.
  • ISO/SAE 21434: est une norme internationale qui définit un processus de gestion de la cybersécurité pour le cycle de vie du développement des véhicules.

Cependant, ce n’est pas le seul aspect juridique qui suscite des inquiétudes pour l’avenir, car il reste encore des défis à résoudre à mesure que la technologie progresse. Et il est nécessaire que, tout comme ils subissent des tests de sécurité comme Euro NCAP, il y ait aussi tests de cybersécurité avant qu'un modèle ne soit mis en vente.

La possibilité qu’un véhicule autonome soit piraté et provoque un accident aux conséquences mortelles constitue un scénario extrêmement complexe d’un point de vue juridique. C'est un terrain inexploré qui remet en question les cadres juridiques existants, conçu principalement pour les accidents d’origine humaine. Autrement dit, il existe des lois pour accuser les gens de crimes de meurtre, d’homicide involontaire, d’atteintes à la santé publique, etc. Mais que se passe-t-il dans ces cas-là ? qui est responsable ? Est-ce le constructeur automobile s’il s’avère qu’il était conscient de la faille de sécurité et ne l’a pas corrigée ? Les autorités de régulation qui n’ont pas établi de règles de sécurité adéquates pourraient-elles également être poursuivies ? Que faire si le cyberattaquant responsable ne peut être identifié ?

Potentiel de danger du bus CAN

El Le bus CAN a été conçu pour la communication entre les composants automobiles, en privilégiant la vitesse et la fiabilité plutôt que la sécurité.. Cela signifie qu’il lui manque des mécanismes robustes d’authentification, de cryptage ou de contrôle d’accès. D’un autre côté, une grande variété de composants du véhicule sont connectés, ce qui signifie qu’un attaquant qui compromettrait un seul ECU (Electronic Control Unit) pourrait accéder à l’ensemble du système. À cela s’ajoute également l’absence de clôture ou de segmentation entre les systèmes interconnectés par ce bus, ce qui permet à l’attaque de se propager.

Si un attaquant souhaite profiter du bus CAN, il pourrait injecter de faux messages pour manipuler les fonctions du véhicule, du contrôle moteur aux systèmes de freinage, etc. Comme on peut le voir sur l'image, le bus CAN connecte une multitude de sous-systèmes électroniques liés au moteur, à la direction, aux freins, aux feux, aux systèmes ADAS, à l'airbag, etc., tous critiques.

Outils pour le piratage de voiture

Enfin, si vous souhaitez commencer des recherches sur le piratage automobile et l'essayer vous-même, sachez qu'il existe quelques outils très intéressants dans le marché:

*Remarque : certains pays, comme le Canada, envisagent d'interdire des outils comme Flipper Zero.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.