Les VE diffèrent des automobiles traditionnelles à bien des égards, notamment par le nombre de fournisseurs impliqués dans leur développement, leur maintenance et leurs performances. La liste va des développeurs de puces et de microprogrammes aux boîtiers de commande et aux applications mobiles qui se connectent aux VE et interagissent avec elles. Chaque point de connexion est également une voie d'accès que les pirates informatiques ne demandent qu'à exploiter.
L'innovation crée de nouvelles opportunités pour les acteurs de la menace
En outre, les technologies qui ont permis le développement des VE sont également responsables d'une grande partie des nouvelles cybermenaces qui pèsent sur le secteur. Chaque aspect du véhicule étant lié à divers sous-systèmes informatiques, les possibilités offertes aux pirates informatiques sont nombreuses et faciles à exploiter. Passons en revue quelques-unes des principales vulnérabilités de l'écosystème des véhicules électriques :Systèmes avancés d'aide à la conduite (ADAS)
Les fabricants de VE sont de plus en plus nombreux à équiper leurs véhicules de systèmes d'aide à la conduite (ADAS). Surveillance des angles morts, détection de la somnolence du conducteur et aide au stationnement : ce ne sont là que quelques exemples des avantages évidents qu'ils offrent en matière de sécurité. Cependant, les ADAS donnent également aux pirates de nombreuses possibilités d'interagir avec un véhicule électrique et de le contrôler. Imaginez les dégâts si des pirates parvenaient à s'infiltrer et à neutraliser la fonction de détection des piétons dans un véhicule électrique commercial circulant dans une zone très peuplée.Réseaux de recharge
Le déploiement de réseaux de recharge rapide est essentiel pour favoriser l'adoption des véhicules électriques. Malheureusement, cette infrastructure de recharge présente également de nombreuses vulnérabilités, allant de la collecte de données de cartes de crédit au point de charge à l'utilisation de serveurs cloud pour pirater l'ensemble d'un réseau de chargeurs de VE. Les ports de maintenance Wi-Fi, USB ou Ethernet des chargeurs sont autant de points d'entrée que les pirates peuvent exploiter pour accéder au système.Une fois que les pirates ont réussi à hacker une station de recharge de VE, ils peuvent accéder à une voiture et influencer ses performances en éteignant les phares ou en désactivant les freins, par exemple. La possibilité de verrouiller la voiture jusqu'au paiement d'une rançon pose également problème, tout comme l'exploitation des stations de recharge pour afficher des messages politiques, comme cela s'est produit récemment avec des stations de recharge de VE piratées en Russie. Au-delà de ces scénarios d'attaque, il y a aussi l'impact secondaire lié au fait que les véhicules essentiels tels que les camions de pompiers et les ambulances ne peuvent pas intervenir.
Systèmes de paiement
Comme mentionné, la récupération des données des cartes bancaires à partir des systèmes de bornes de recharge est un exemple de problème de sécurité, mais le problème des systèmes de paiement est beaucoup plus vaste. Les données des cartes sont liées aux systèmes d'infotainment embarqués ainsi qu'à de nombreuses sociétés tierces qui s'associent de plus en plus aux fabricants de VE. À mesure que ces relations se renforcent et que l'écosystème des VE se développe, les systèmes de paiement devraient devenir un vecteur d'attaque de plus en plus populaire.La sécurité est souvent prise en compte après coup
Malgré la multitude de problèmes de sécurité rencontrés par l'industrie des véhicules électriques, la protection de ces derniers et des infrastructures qui leur sont associées contre les attaques n'a pas encore bénéficié de l'attention qu'elle méritait. Les constructeurs automobiles et les autres parties prenantes sont impatients de saisir l'opportunité offerte par le marché et, dans le meilleur des cas, mettent la sécurité en au second plan ou, ce qui est encore plus préoccupant, laissent subsister des failles susceptibles d'être exploitées par des pirates.La sécurité doit être intégrée dans la phase de conception
Les entreprises doivent agir dès maintenant pour intégrer la sécurité des VE dans la phase de conception des véhicules, des capteurs, des stations de recharge et des autres infrastructures de support.L'un des meilleurs moyens d'y parvenir est de déployer un jumeau numérique, que Gartner définit comme "... une reproduction numérique d'une entité ou d'un système du monde réel". Grâce à cette technologie, les développeurs peuvent simuler le comportement des systèmes au sein de l'écosystème des véhicules électriques afin d'identifier leurs points faibles et de les corriger avant que les pirates informatiques ne les utilisent comme point d'entrée. En outre, les jumeaux numériques permettent aux fabricants d'explorer de nombreux scénarios potentiels et de repérer les problèmes de sécurité qui en découlent avant que le véhicule électrique n'entre en production. Ces modèles virtuels permettent également aux équipes de développement de vérifier la sécurité de l'écosystème des VE au sens large, afin de s'assurer que des éléments tels que l'infrastructure de recharge et les systèmes de paiement n'introduisent pas de vulnérabilités supplémentaires.
Poser les jalons du futur des véhicules électriques
La technologie des jumeaux numériques aura un rôle majeur à jouer une fois que les véhicules électriques seront sortis de la phase de conception. Grâce aux mises à jour et aux correctifs fréquents des systèmes et des logiciels, l'émulation permet de contrôler en permanence les performances et de détecter les vulnérabilités avant qu'elles ne constituent une menace pour la sécurité. Cette technologie est un outil exceptionnel qui permet d'identifier et de résoudre les problèmes avant qu'ils ne se concrétisent, réduisant ainsi la probabilité d'une attaque réussie.L'adoption massive des véhicules électriques est en passe de devenir une réalité. Il est donc impératif que les entreprises agissent dès maintenant pour éviter que les problèmes de sécurité ne viennent compromettre leur développement.
Par Marie Hattar, CMO chez Keysight
