Sécurité des systèmes embarqués : “Plus personne ne prendra ce sujet à la légère”

Journal de l’Automobile. Que pointe du doigt cette étude ?
François Paget. On souligne que l’Homme devient nomade et que cela le conduit à avoir des données stockées sur lui où qu’il soit. Alors, l’informatique prend de l’importance dans son environnement. Malheureusement, si le concept d’informatique connectée présente de nombreux avantages, il rime également avec la notion de menace en provenance de cybercriminels motivés par l’appât du gain ou le plaisir du jeu. Les voitures devenant de plus en plus intelligentes et communicantes, ces cybercriminels se voient offrir de plus en plus de possibilités de sévir.

JA. Que peut-on imaginer ?
FP. Nous avons mis en avant quelques exemples dans notre rapport, comme l’attaque au Texas, l’an passé, qui avait abouti au blocage d’une centaine de véhicules par un ancien employé de concession en froid avec son employeur. Aux Pays-Bas, un pirate a relevé les données GPS des PND TomTom, pour revendre les informations aux services de police traquant les excès de vitesse. Plus récemment, un autre individu, à l’aide de son smartphone, est parvenu à déverrouiller les portes d’une Subaru. A partir de là, on peut tout envisager.

JA. Si ce n’est plus du domaine de la science-fiction, quelle menace pèse réellement sur nos véhicules ?
FP. Nous ne voulons pas spéculer, l’intérêt n’est pas là, mais si on se rapporte à l’univers d’Internet, il faut savoir que, chaque jour, nous voyons en moyenne près de 50 000 nouveaux programmes malveillants, car certains y trouvent une fin lucrative. Notre étude a pour but d’alerter le public et les constructeurs sur un fait avéré. McAfee s’est rapproché de spécialistes pour réaliser ce projet et entamer une réflexion.

JA. Comment ont réagi les constructeurs ?
FP. J’ai l’impression qu’il y a eu une prise de conscience collective qui a ajouté de la pression sur leurs épaules. Ils n’ignoraient pas la faille, mais tentaient de la résoudre en interne. Une chose est certaine, plus personne ne prendra ce sujet à la légère, bien qu’il ne soit pas nécessaire de tomber dans la paranoïa.

JA. En tant qu’expert de la sécurité, que préconise McAfee ?
FP. Nous ne cherchons pas à placer un de nos produits, cette enquête est purement informative. Bien entendu, nous sommes des professionnels et, en tant que tels, nous ne cachons pas notre volonté de faire partie du débat et de le rendre constructif. Il faut de la coopération entre les constructeurs, les spécialistes de la sécurité et les intégrateurs.

JA. Les constructeurs n’ont-ils jamais consulté d’avis extérieur jusqu’à ce jour ?
FP. Je ne peux pas l’affirmer, mais l’expérience prouve que la sécurisation de l’informatique embarquée n’a jamais fait l’objet d’une réelle attention.

JA. L’informatisation des véhicules est-elle remise en question ?
FP. Non, je ne pense pas que ce soit la solution. Il y a des besoins maintenant identifiés, et les consommateurs sont en attente. Nous savons tous que l’informatisation est une réponse aux nouvelles exigences des conducteurs.

JA. Alors, par quoi la sécurisation des données peut-elle passer ?
FP. Dans un avenir très proche, puisque nous travaillons déjà dessus, de plus en plus de processeurs équiperont les véhicules, au sein des équipements embarqués. Le plus simple pour les éditeurs et pour les constructeurs sera d’intégrer directement une couche de sécurité à l’intérieur de ces derniers. Cela sera par conséquent transparent pour les utilisateurs et ne leur ajoutera pas une tâche supplémentaire pour protéger un nouvel équipement. A ce titre, McAfee est un éditeur très bien placé, du fait de son rachat par Intel en août 2010. Intel étant, pour rappel, un fabriquant des processeurs équipant une multitude d’appareils.

JA. Imagine-t-on un procédé de mise à jour de l’antivirus de sa voiture, à l’instar de ce qui se fait dans la micro-informatique ?
FP. Pas de fantasme ! Il y aura du chemin à parcourir pour en arriver là. La mise à jour entre dans les mœurs. On y est confronté avec une part croissante de produits de grande consommation. Mais dans l’automobile, il reste une éducation à faire car aucune pratique de la sorte n’a jamais été imaginée.

JA. Cela implique-t-il également une sécurisation des plates-formes extérieures susceptibles d’être en connexion avec l’auto ?
FP. Effectivement, elles doivent être protégées. L’automobiliste devra sécuriser ses propres appareils, smartphones, tablettes, GPS, ordinateurs et tout ce qu’on pourrait connecter à la voiture. La raison en est simple, il suffit que, lors d’une connexion à Internet, l’appareil soit contaminé, dès lors, tel un cheval de Troie, il peut infiltrer la voiture. Il y a des failles multiples à ne pas négliger.

JA. Pensez-vous que des virus dorment déjà dans les systèmes en attendant que vienne le “bon moment” ?
FP. Sans interconnexion, le risque de propagation est limité. D’ici à dire qu’il n’y a aucun programme malveillant en sommeil, on ne peut le jurer. L’idée est plausible. Une chose est claire, c’est que s’ouvre ici la voie à de nouveaux services à destination des constructeurs et de leurs partenaires.