Protéger la voiture électrique et définie par logiciel

"Poutine est une tête d'a***. Gloire à l'Ukraine."

C'est ce que des chargeurs de véhicules électriques piratés ont récemment lu, entre autres, dans des stations de recharge pour handicapés près de Moscou. Et même si cela fait sourire de nombreuses personnes dans le monde, cela met en évidence un point soulevé par plusieurs chercheurs et développeurs qui se sont réunis la semaine dernière à escarre 2022 (une conférence qui se concentre chaque année sur les développements techniques profonds de la cybersécurité automobile) : les hacks automobiles sont en augmentation. En fait, par Rapport d'Upstream Automotive, la fréquence des cyberattaques a augmenté de 225 % de 2018 à 2021, 85 % étant menées à distance et 54.1 % des piratages de 2021 étant des attaquants « Black Hat » (alias malveillants).

Au milieu de l'écoute de divers rapports du monde réel lors de cette conférence, certaines choses sont devenues évidentes : il y a à la fois de bonnes et de mauvaises nouvelles basées sur l'attention toujours requise dans ce domaine critique.

La Bad Nouvelles

Dans ses termes les plus simples, la mauvaise nouvelle est que les progrès technologiques ne font que rendre plus probable la probabilité d'événements du premier jour. "Les véhicules électriques créent plus de technologie, ce qui signifie qu'il y a plus de menaces et de surfaces de menace", a déclaré Jay Johnson, chercheur principal aux Sandia National Laboratories. "Il y a déjà 46,500 2021 chargeurs disponibles en 2030, et d'ici 600,000, la demande du marché suggère qu'il y en aura environ XNUMX XNUMX." Johnson a ensuite décrit les quatre principales interfaces d'intérêt et un sous-ensemble préliminaire de vulnérabilités identifiées ainsi que des recommandations, mais le message était clair : il doit y avoir un "appel aux armes" continu. C'est, selon lui, le seul moyen d'éviter des choses telles que les attaques par déni de service (DoS) à Moscou. "Les chercheurs continuent d'identifier de nouvelles vulnérabilités", déclare Johnson, "et nous avons vraiment besoin d'une approche globale de partage d'informations sur les anomalies, les vulnérabilités et les stratégies de réponse pour éviter des attaques coordonnées et généralisées contre les infrastructures".

Les voitures électriques et leurs bornes de recharge associées ne sont pas les seules nouvelles technologies et menaces. Le "véhicule défini par logiciel" est une plate-forme architecturale semi-nouvelle (* sans doute utilisée il y a plus de 15 ans par General MotorsGM
et OnStar) que certains fabricants se dirigent vers la lutte contre des milliards de dollars gaspillés sur le réaménagement continu de chaque véhicule. La structure de base implique l'hébergement d'une grande partie du cerveau du véhicule hors bord, ce qui permet une réutilisation et une flexibilité au sein du logiciel, mais présente également de nouvelles menaces. Selon le même rapport Upstream, 40 % des attaques de ces dernières années ont ciblé des serveurs back-end. « Ne nous leurrons pas », avertit Juan Webb, directeur général de Kugler Maag Cie, « il existe de nombreux endroits dans la chaîne automobile où des attaques peuvent se produire, de la fabrication aux concessionnaires en passant par les serveurs externes. Partout où existe le maillon le plus faible qui est le moins cher à pénétrer avec les plus grandes implications financières, c'est là que les pirates attaqueront.

Là-dedans, une partie de ce qui a été discuté à escar était la mauvaise-bonne-nouvelle (selon votre point de vue) du Règlement CEE-ONU entrera en vigueur cette semaine pour tous les nouveaux types de véhicules : les constructeurs doivent présenter un système de gestion de la cybersécurité (CSMS) et un système de gestion des mises à jour logicielles (SUMS) robustes pour que les véhicules soient certifiés pour la vente en Europe, au Japon et éventuellement en Corée. "Se préparer à ces certifications n'est pas une mince affaire", déclare Thomas Liedtke, également spécialiste de la cybersécurité chez Kugler Maag Cie.

Les Bonnes Nouvelles

Avant tout, la meilleure nouvelle est que les entreprises ont entendu le cri de ralliement et ont à peine commencé à inculquer la rigueur nécessaire pour combattre les ennemis Black Hat susmentionnés. "En 2020-2022, nous avons constaté une augmentation du nombre d'entreprises souhaitant effectuer une analyse des menaces et une évaluation des risques ou TARAR
A », déclare Liedtke. "Dans le cadre de ces analyses, la recommandation a été de se concentrer sur les types d'attaques contrôlées à distance, car celles-ci conduisent à des valeurs de risque plus élevées."

Et toute cette analyse et cette rigueur semblent initialement avoir un effet. Selon un rapport fourni par Samantha (« Sam ») Isabelle Beaumont d'IOActive, seulement 12 % des vulnérabilités trouvées dans leurs tests d'intrusion de 2022 ont été considérées comme « impact critique » contre 25 % en 2016, et seulement 1 % étaient « probabilité critique » contre 7 % en 2016. « Nous constatons que les stratégies actuelles de remédiation des risques commencent à porter leurs fruits », déclare Beaumont. "L'industrie s'améliore pour mieux construire."

Cela signifie-t-il que l'industrie est finie? Certainement pas. "Tout cela est un processus continu de renforcement des conceptions contre l'évolution des cyberattaques", suggère Johnson.

En attendant, je vais célébrer la dernière bonne nouvelle que j'ai glanée : les hackers russes sont occupés à pirater des actifs russes plutôt que mon flux de médias sociaux.