"Les constructeurs n'ont jamais intégré de logique d'identification"
Les cas de piratage ont alerté les constructeurs. Les entreprises de sécurité informatique trouvent des solutions pour pallier ces menaces de taille. Luc Caprini, directeur Europe du Sud de Ping Indentity, explique dans quelle voie ils ont avancé.
JOURNAL DE L'AUTOMOBILE. De nombreuses démonstrations de piratage depuis plusieurs mois, où en est l'industrie automobile ?
LUC CAPRINI. Il est difficile de dire où en est l'industrie automobile compte tenu du fait que chaque groupe adopte sa propre stratégie de R&D. Le danger relève de l'accessibilité aux organes vitaux des véhicules, donc, d'une manière générale, l'industrie automobile se dirige vers des technologies de certification.
JA. Comment cela fonctionne-t-il ?
LC. Il s'agit d'une infrastructure en local, c'est-à-dire directement implémentée dans les voitures, dont la mission sera d'identifier les requêtes d'accès. Elle fonctionne selon des protocoles, tels qu'OAuth 2.0 et OpenID Connect 1.0, qui vont garantir l'accès au véhicule, en distribuant des "jetons" que les éléments du véhicule reconnaîtront. A titre d'exemple, Google les emploie pour verrouiller sa Google Car.
JA. Comment s'assurer que le véhicule ne sera pas dupé par des "jetons" falsifiés ?
LC. D'abord, il faut savoir qu'ils sont paramétrables, notamment dans la durée de vie. Un peu comme si vous donniez un code d'accès provisoire. Ce "jeton" est délivré par le véhicule et permet que les divers composants ne communiquent qu’à la condition de recevoir l'autorisation d'une personne déterminée. L'utilisateur n’aura qu’à déclencher la création d'un "token" de sécurité, qui sera utilisé dans tous les messages par les parties communicantes. Jusqu'à présent, les constructeurs n'ont jamais intégré de logique d'identification, d'où les cas de piratage.
JA. Quel est l'impact sur les canaux de communication développés ?
LC. Cette approche est compatible avec la quasi-totalité des solutions logicielles connues sur le marché, comme Microsoft ou Google. Il n'y a donc pas de grandes problématiques de déploiement, mais des ajustements. Concernant les plates-formes IoT, comme celle de Ping Identity, Oracle ou IBM, elles ont développé leur technologie il y a une quinzaine d'années et, depuis tout ce temps, aucune attaque d'envergure n'a été recensée, car les serveurs sont prévus pour ne pas réagir.
Vous devez activer le javacript et la gestion des cookies pour bénéficier de toutes les fonctionnalités.
Sur le même sujet
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.