Clever Geek Handbook

Intelligent et dangereux: ce qui menace les propriétaires de voitures de haute technologie

image

Les voitures modernes passent d'un véhicule mécanique à des gadgets électroniques sur roues - elles téléchargent les mises à jour du micrologiciel sur Internet, transmettent des informations de diagnostic au fabricant et disposent d'interfaces pour une connexion à distance. En conséquence, les risques de cybersécurité s'ajoutent aux risques habituels pour les voitures. Notre nouvelle recherche est consacrée à l'étude de ces menaces , les conclusions les plus importantes dont nous partagerons dans cet article.



Caractéristiques des voitures connectées



Les unités technologiques d'une voiture intelligente sont contrôlées par des unités de commande électroniques (ECU). Un ECU est un ordinateur qui collecte les données des capteurs, commutateurs, boutons qui y sont connectés, les traite et envoie des commandes aux actionneurs. La partie la plus importante de chaque ECU est son firmware - le logiciel dont dépend la fiabilité du fonctionnement du véhicule. Certains véhicules ont plus de 100 ECU.



La communication entre les calculateurs s'effectue à l'aide des protocoles CAN / CAN FD, LIN, MOST, Ethernet et FlexRay. Leur caractéristique commune est une fiabilité accrue. Ils résistent aux pannes dans les conditions de conduite difficiles du véhicule, mais aucun d'entre eux ne fournit des fonctionnalités de sécurité intégrées telles que le cryptage des données ou l'authentification de l'appareil.



Dans un proche avenir, les modèles de masse devraient être équipés de systèmes avancés d'assistance à la conduite (ADAS), de pilotes automatiques et de systèmes véhicule à véhicule (V2V) et d'infrastructure routière (V2I). De tels systèmes aideront à prévenir ou à atténuer les accidents, mais ils créeront également de nouvelles opportunités pour les attaquants.



La popularité de l'autopartage a rendu les fonctions de contrôle de flotte centralisées très demandées, par exemple la possibilité de suivre chaque voiture en temps réel, de collecter des données de télémétrie et de contrôler les modes de fonctionnement du moteur.



La demande de nouvelles technologies oblige les constructeurs automobiles à raccourcir les cycles de développement et de production afin de continuer à accélérer le rythme de l'adoption des nouvelles technologies. La course à la sophistication technologique laisse les problèmes de cybersécurité sans solution. Le résultat est logique: les voitures neuves contiennent de nombreuses vulnérabilités potentielles.



Cybermenaces automobiles



Une voiture connectée à Internet possède un nombre important de ports ouverts qui pourraient potentiellement être exploités par des cybercriminels. Et étant donné l'attitude superficielle des développeurs automobiles face aux problèmes de sécurité, pénétrer n'importe quel ECU disponible est une tâche relativement simple. Ayant pris le contrôle d'un module, un attaquant peut passer d'un bloc de contrôle à un autre et mener une grande variété d'attaques, par exemple:



  • DoS- , ;
  • - ;
  • , , ;
  • ;
  • , , .




Une source supplémentaire de menaces est souvent les propriétaires de voitures eux-mêmes, qui sont des passionnés de réglage de puces. Ils achètent des scanners Wi-Fi ou Bluetooth qui se connectent au bus CAN via le connecteur de diagnostic OBD-II. En règle générale, le micrologiciel de ces scanners ne contient pas de protection contre les attaques, de sorte que tout le monde peut s'asseoir à côté d'un ordinateur portable, prendre le contrôle du dongle et ajouter un petit "réglage de la puce" à sa discrétion.



Appareils multimédias montés sur la tête



Un autre élément vulnérable rarement pris en compte est les unités de tête multimédia avec navigation GPS et autres fonctions. Les propriétaires de voitures remplacent souvent les systèmes multimédias standard par des systèmes alternatifs pour obtenir des fonctionnalités supplémentaires.



La plupart de ces appareils fonctionnent sur des versions obsolètes d'Android qui sont à peine mises à jour. Populaire auprès des conducteurs, l'adaptation automatique du volume sonore à la vitesse de conduite nécessite que l'unité principale soit connectée au bus CAN. En conséquence, un attaquant distant peut profiter des vulnérabilités connues d'Android pour lancer une attaque sur le bus CAN.



Le plus ennuyeux: des versions vulnérables d'Android sont utilisées même dans les appareils multimédias standard de certaines voitures.



Micrologiciel non sécurisé



Presque tous les propriétaires de voitures intelligentes souhaitent que cette voiture soit plus rapide et plus puissante que ce que le constructeur envisage. Et le meilleur de tous, si vous pouvez ajouter les fonctions de l'ancien modèle au modèle plus jeune moins cher. Les ateliers de garage spécialisés dans ces modifications remplacent le micrologiciel de l'ECU, qui est le système d'exploitation avec le chargeur de démarrage. Ces artisans ne sont même pas gênés par le fait que les fichiers du firmware doivent être signés avec la signature numérique du fabricant: en modifiant le code dans l'ECU, ils désactivent la vérification de signature, ce qui fait que l'appareil fonctionne avec n'importe quel firmware, y compris malveillant.



Vulnérabilités dans le bus CAN



Développé par Bosch en 1983, le bus CAN a été officiellement introduit en 1986 et utilisé pour la première fois dans les véhicules de production en 1989. Quatre ans plus tard, l'ISO a adopté le CAN comme norme pour les voitures, et depuis lors, ce bus et le protocole de communication associé ont été utilisés dans presque tous les véhicules.



image

Systèmes de véhicule connectés au CAN. Source: Trend Micro



Tous les appareils du véhicule communiquent via le bus CAN. Grâce à cela, le dispositif multimédia de la tête reconnaît, après avoir reçu des informations sur les airbags déployés, que vous devez appeler le service d'urgence et signaler l'accident.



Les appareils connectés au CAN interagissent les uns avec les autres, transmettant des messages spéciaux - des trames. Ces messages peuvent contenir diverses informations, notamment des messages d'erreur. L'équipe de recherche commune a développé une attaque sur le bus CAN qui exploite les fonctionnalités de gestion des erreurs dans ce cas:



  1. des erreurs se produisent lorsque le périphérique lit des valeurs qui ne correspondent pas à la valeur attendue d'origine sur la trame;
  2. lorsqu'un appareil détecte un tel événement, il écrit un message d'erreur sur le bus CAN pour "rappeler" la trame erronée et notifier aux autres appareils de l'ignorer;
  3. , , CAN, Bus Off, . . CAN - CAN, — , ;
  4. , , Bus Off, .


Cela peut devenir dangereux et même fatal, surtout si les airbags ou l'ABS peuvent être désactivés de cette manière.



Pour mener une attaque, il suffit de connecter un appareil au CAN, qui enverra à plusieurs reprises des trames avec des erreurs au CAN. Et pour les voitures connectées, aucun appareil n'est nécessaire - tirez simplement parti des vulnérabilités de l'ECU et lancez une attaque à distance.



Présentation de Trend Micro sur l'attaque CAN:



Ce qui précède a déjà été testé dans la pratique. En 2015, Charlie Miller et Chris Valasek ont ​​fait une démonstration de piratage à distance d'un Jeep Cherokee connecté . Le conducteur, qui a été averti de l'expérience, a conduit sur l'autoroute, après quoi les chercheurs ont pris le contrôle des systèmes de sa voiture. Ils ont allumé la musique et la climatisation à plein régime, ont mis les balais d'essuie-glace en marche, puis ont forcé la voiture à ramper comme une tortue, de sorte que d'autres conducteurs ont klaxonné le participant au test, le dépassant. Et le pire: il ne pouvait rien faire - le contrôle du climatiseur, du système multimédia et même de la pédale d'accélérateur a été intercepté par des pirates. Après la publication des résultats de l'expérience , Chrysler a rappelé 1,4 million de véhiculeséquipé du système UConnect piraté à distance par lequel les chercheurs ont piraté le Jeep Cherokee.



Pour répondre à ces problèmes de sécurité refoulés, le groupe industriel ISO / SAE a développé un ensemble de lignes directrices pour la sécurité des véhicules connectés - ISO / SAE 21434 .



Ce que propose le nouveau standard



Gérer la sécurité partout



Cela signifie que la sécurité doit devenir une partie obligatoire de tous les processus, de la conception et du développement à la production, à l'exploitation, à la maintenance et à la mise hors service. La gestion des risques doit être basée sur la norme éprouvée



image

ISO 31000. Cadre de gestion des risques conforme Ă  la norme ISO 31000. Source: Trend Micro



Suivi des risques



En cas d'incidents de sécurité potentiels, la norme prévoit des points de contrôle pour toutes les entreprises, fournisseurs et fournisseurs:



  • la gestion descendante de la cybersĂ©curitĂ© doit reposer sur une surveillance continue des risques dans toute l'organisation, y compris la production et l'ensemble de la chaĂ®ne d'approvisionnement;
  • Pour mettre en Ĺ“uvre une cybersĂ©curitĂ© descendante, les organisations auront besoin d'une solide culture de cybersĂ©curitĂ© et d'un accent sur une formation de qualitĂ©;
  • les dirigeants Ă  tous les niveaux doivent travailler pour intĂ©grer les connaissances en cybersĂ©curitĂ© Ă  toutes les Ă©tapes de l'entreprise et les mettre en Ĺ“uvre dans leurs services; pour ce faire, vous pouvez utiliser les recommandations de la norme de gestion de la sĂ©curitĂ© de l'information ISO / CEI 27001.


image

Mesures pour assurer la mise en œuvre des normes de sécurité de l'information conformément à la norme ISO 27001. Source: Trend Micro.



Évaluation des événements de cybersécurité



Ce processus détermine le niveau d'impact d'un événement de cybersécurité et la réponse appropriée à celui-ci. Chaque événement doit être analysé pour déterminer comment il affecte un objet ou un composant. Compte tenu de la décision d'éliminer le risque, les procédures de réponse peuvent être appliquées aux étapes suivantes.



Analyse de vulnérabilité



Pour chaque vulnérabilité identifiée, il est nécessaire d'établir si elle peut être utilisée pour une attaque. Toutes les erreurs et tous les événements doivent être analysés pour identifier les vulnérabilités potentielles, par exemple:



  • exigences ou spĂ©cifications manquantes;
  • les lacunes architecturales ou de conception, y compris la conception incorrecte des protocoles de sĂ©curitĂ©;
  • les faiblesses ou la mise en Ĺ“uvre incorrecte des protocoles de sĂ©curitĂ©, y compris les erreurs matĂ©rielles et logicielles;
  • les faiblesses des processus et des procĂ©dures de l'entreprise, y compris l'utilisation abusive et la formation inadĂ©quate des utilisateurs;
  • utilisation de fonctions obsolètes, y compris des algorithmes cryptographiques.


Gestion des vulnérabilités



Pour empêcher les criminels potentiels d'exploiter la vulnérabilité découverte, les mesures suivantes peuvent être prises:



  • arrĂŞt temporaire des composants non critiques;
  • notification des risques aux utilisateurs;
  • dĂ©veloppement et rĂ©vision des correctifs de code par l'Ă©quipe de dĂ©veloppement;
  • crĂ©ation et dĂ©ploiement de correctifs de sĂ©curitĂ©.


Gestion des mises Ă  jour



Pour la plupart des voitures vendues, les mises à jour du micrologiciel ne peuvent être effectuées que dans les centres de service autorisés, car:



  • l'installation de mises Ă  jour pour les calculateurs critiques ne peut pas ĂŞtre effectuĂ©e pendant leur dĂ©placement pour la sĂ©curitĂ© des utilisateurs;
  • La taille totale d'une mise Ă  jour logicielle nĂ©cessitant une installation peut ĂŞtre de plusieurs gigaoctets, ce qui fait du temps et de la bande passante des facteurs importants limitant son dĂ©ploiement immĂ©diat;
  • la mise Ă  jour de l'ECU peut le dĂ©sactiver, ce qui signifie qu'ils devront ĂŞtre remplacĂ©s par des modèles rĂ©parables dans les centres de service autorisĂ©s.


En conséquence, les mises à jour sont généralement effectuées uniquement lorsque l'utilisateur reçoit un message de dysfonctionnement et non pour des raisons de sécurité. En conséquence, la plupart des voitures n'ont pas été mises à jour depuis des années.



La nouvelle norme ISO / AWI 24089 «Véhicules - Ingénierie de mise à jour logicielle» vise à résoudre ce problème. Il en est actuellement aux premiers stades de développement, il est donc difficile de dire comment cela affectera la procédure de mise à jour.



Comment ĂŞtre



Nous proposons une approche à plusieurs niveaux pour sécuriser les véhicules connectés, qui comprend à la fois les informations les plus récentes sur le paysage des menaces et les mesures de sécurité pré-construction pour les véhicules, les réseaux et les services de support. Ces mesures devraient réduire considérablement la probabilité de réussite d'une attaque et atténuer ses conséquences potentielles.

Il est essentiel de maintenir une approche holistique pour améliorer la sécurité des véhicules connectés, tout en évitant les solutions cloisonnées. C'est le seul moyen d'obtenir un contrôle de gestion uniforme dans tout le système.



image

L'approche recommandée pour sécuriser un véhicule connecté est un système de sécurité multicouche transparent. Source: Trend Micro.



Pour ce faire, les entreprises et les fournisseurs doivent mettre en place une solution fiable et fonctionnelle qui



  • prend en charge le contrĂ´le des voitures connectĂ©es;
  • protège contre les attaques visant les vĂ©hicules, les rĂ©seaux connectĂ©s et les systèmes backend;
  • fournit un contexte unique pour les Ă©vĂ©nements de chaque système au fur et Ă  mesure qu'ils se produisent.


Cela garantit une réponse multicouche transparente aux cyberattaques pour la protection, la détection et la réponse, ainsi que la surveillance de toutes les étapes de la production et de l'exploitation des véhicules de haute technologie.


More articles:


All Articles