Nous avons l'habitude de définir les voitures par leur fonction première : nous transporter d'un endroit à un autre. Cependant, la nature même de la voiture évolue de plus en plus, obligeant les constructeurs automobiles et les fournisseurs de l'industrie à s'adapter. Aujourd'hui, un nouveau véhicule qui sort de la chaîne de montage comporte plus de lignes de code qu'un avion de ligne moderne. Il comprend des systèmes complexes d'infodivertissement, de télématique et d'infrastructure, qui doivent tous fonctionner en parfaite harmonie et synchronisation pour que le conducteur reste connecté, informé et en sécurité.

Lire la vidéo

Les véhicules connectés d'aujourd'hui n'offrent pas seulement un moyen de transport, mais aussi des services d'information avancés et hautement personnalisés. Ils peuvent nous indiquer la météo, lire nos courriels, passer des appels téléphoniques ou nous aider à trouver le chemin le plus rapide pour contourner un embouteillage. Au fur et à mesure que les technologies de conduite autonome s'imposent, elles prennent également en charge de plus en plus de tâches traditionnellement effectuées par un conducteur humain. Pour ce faire, le véhicule moderne a besoin d'une connexion permanente au site cloud et d'un accès à certaines de nos données personnelles les plus sensibles.

Selon KPMG, "une voiture neuve moyenne comporte plus de 150 millions de lignes de code, soit plus qu'un avion de chasse F-35 ou qu'un Boeing 787".

Selon le rapport 2021 Upstream Global Automotive Cybersecurity Report, les véhicules connectés représenteront près de 86 % du marché mondial de l'automobile d'ici à 2025.

La tendance des voitures à devenir de plus en plus performantes, connectées et gourmandes en données ne fera que s'accentuer à l'avenir. Cela signifie que les constructeurs automobiles doivent trouver un moyen de sécuriser les systèmes intégrés qui contrôlent tous les aspects de la voiture et déterminent la qualité, la confidentialité et la sécurité de l'expérience du conducteur.

Une crise émergente dans la cybersécurité automobile

En raison de l'essor rapide du véhicule connecté, l'industrie est confrontée à une crise de la protection des données et de la cybersécurité. Pour que leurs véhicules restent compétitifs sur le marché, conformes aux réglementations et sûrs pour les conducteurs et les passagers, les constructeurs automobiles doivent adopter une nouvelle approche. Ils doivent donner la priorité à des stratégies de sécurité qui protègent leur activité, leur réputation et leurs clients, et les mettre en œuvre.

La menace est réelle et croissante. En 2015, lors d'un exploit très médiatisé, des chercheurs en sécurité ont pris le contrôle à distance d'une Jeep Cherokee, y compris en coupant le moteur. De nos jours, les piratages sont moins susceptibles de provenir de hackers "blancs" (universitaires et chercheurs qui testent les systèmes de sécurité) que d'attaquants "noirs".

"Pour attaquer une voiture, un pirate doit pouvoir pénétrer dans son système, explique Asaf Ashkenazi, président et directeur de l'exploitation de Verimatrix, cité par AutoEvolution. "Il y a quinze ans, cela signifiait principalement l'accès aux interfaces physiques de la voiture, telles que l'interface OBD. Aujourd'hui, il existe davantage de points d'entrée à distance, y compris des interfaces sans fil, qui augmentent considérablement la surface d'attaque de la voiture. Cette surface d'attaque comprend également des périphériques tels que les smartphones Android et Apple.

En 2020, les entreprises ciblées par des exploits publics réussis de "prise de contrôle" - au cours desquels le pirate informatique a pu prendre le contrôle du véhicule - comprenaient Honda, Mercedes-Benz, Tesla et d'autres. La même année, 4 118 véhicules ont été volés en Inde à l'aide de simulateurs de porte-clés, un moyen de plus en plus répandu de voler des véhicules à l'échelle mondiale.

Asaf poursuit : "La plupart des constructeurs automobiles reconnaissent que la cybersécurité doit être prise au sérieux. Malheureusement, cela ne se traduit pas toujours par des actions directes ou des actions dans la bonne direction. Les constructeurs automobiles ne sont pas toujours conscients de tous les risques et ne s'attaquent pas nécessairement aux failles de sécurité en fonction du niveau de risque."

Selon Danny Le, directeur chez KPMG, "avec la possibilité pour les voleurs de cyberattaquer plusieurs voitures à la fois, 'en attaquer une, en voler plusieurs' est la meilleure façon de caractériser la menace actuelle du grand vol de voitures".

Découvrez comment nous contribuons à protéger l'industrie automobile

En savoir plus

D'une certaine manière, nous n'en sommes qu'au premier stade du danger. La menace imminente de piratages à grande échelle, au cours desquels de grands groupes de véhicules ou des flottes entières sont pris d'assaut, est une préoccupation majeure pour les constructeurs automobiles, les groupes de protection des consommateurs et les gouvernements. Il est concevable qu'un terroriste ou un opérateur de ransomware puisse démarrer et armer un convoi entier de voitures, par exemple en désactivant les systèmes de contrôle de la batterie qui empêchent les matériaux explosifs de surchauffer.

Les systèmes de télédéverrouillage (RKS) - également connus sous le nom de Keyless Entry ou Remote Central Looking - sont également menacés dans la plupart des véhicules modernes connectés. Les systèmes sans clé à distance fonctionnent en envoyant un code transmis par radio à courte portée de la clé à la voiture. Lorsqu'elle reçoit le code, la voiture sait qu'elle est autorisée à déverrouiller les portes ou à démarrer le moteur.

Dans le cas d'un RKS physique, la menace la plus fréquente est l'attaque par rejeu.

Une attaque par relecture consiste pour le pirate à écouter la transmission radio et à capturer les données envoyées par la clé à la voiture. Il peut ensuite déverrouiller le véhicule en "rejouant" le même code que celui qu'il a capturé.

Les systèmes d'infotainment embarqués (IVI) vulnérables exposent également les constructeurs automobiles à des attaques ; des violations de données, des amendes pour non-conformité et des rappels coûteux sont possibles. Les entreprises avant-gardistes qui desservent la chaîne d'approvisionnement automobile réduisent les risques et les vulnérabilités grâce à une protection en couches qui rend leurs applications, APIS et appareils autodéfensifs, protégeant ainsi leur code contre les dommages.

Vecteurs d'attaque les plus courants dans les automobiles

  1. Serveurs
  2. Applications mobiles
  3. API
  4. Entrée sans clé/Porte-clés
  5. Port OBO
  6. Infotainment
  7. Réseau informatique
  8. Capteurs
  9. Réseau embarqué
  10. WI-FI

Repenser la sécurité pour le véhicule moderne d'aujourd'hui

L'étendue, la variété et la complexité des systèmes impliqués dans les véhicules connectés d'aujourd'hui exigent une approche fondamentalement nouvelle de la sécurité. La sécurité ne peut pas être une réflexion après coup ; elle doit être intégrée dès le début de la phase de conception. Elle doit également être holistique et adaptable par nature, capable de faire face à un large éventail de menaces et de répondre à l'évolution des besoins. Il doit être simple et intuitif, tant pour les développeurs qui doivent l'intégrer dans le logiciel de contrôle que pour les clients finaux qui interagiront avec le véhicule. Enfin, elle doit être résiliente dans le temps, offrant une protection "à l'épreuve du temps" qui durera pendant toute la durée de vie du véhicule.

La priorité des constructeurs et des fournisseurs automobiles doit être d'identifier et de sécuriser tous les points de vulnérabilité possibles grâce à une sécurité intelligente, flexible et résiliente. Ils doivent également reconnaître que la voiture est plusieurs choses à la fois : un véhicule, une plateforme de divertissement connectée, un dispositif d'information et une plaque tournante pour des quantités massives de données, à la fois entrantes et sortantes. Chaque aspect doit être protégé, y compris les données sensibles et de grande valeur qui circulent dans les deux sens vers le site cloud.

Même les interfaces apparemment moins critiques doivent être protégées. Par exemple, un exploit ciblant les applications d'infodivertissement embarquées peut sembler moins dangereux qu'un exploit attaquant un système télématique, jusqu'à ce que vous considériez que de nombreux constructeurs automobiles ont maintenant autorisé les applications à contrôler ou à soutenir l'expérience de conduite. Soudain, cet exploit au niveau de l'application peut se transformer en une porte dérobée qui compromet la sécurité du conducteur. Même des systèmes comme le Wi-Fi ou le Bluetooth peuvent devenir des cibles pour les attaquants.

La sûreté est la sécurité dans les voitures connectées

Verimatrix propose des solutions de sécurité robustes, automatisées et intelligentes pour assurer la sécurité des voitures connectées. Nos solutions pour la voiture connectée comprennent :

  • Protection des systèmes d'entrée sans clé
  • Sauvegarde des systèmes d'info-divertissement embarqués
  • Protéger les applications mobiles pour les constructeurs et les équipementiers automobiles
  • Prévenir les attaques contre les points d'accès grâce à un système étendu threat defense


Verimatrix fournit des solutions de sécurité SaaS éprouvées pour protéger la technologie qui alimente les voitures connectées. Les principales marques d'automobilistes font confiance à Verimatrix pour protéger leurs données, leur code, leur contenu et leurs clients. Contactez votre consultant Verimatrix threat defense pour une évaluation gratuite de la sécurité automobile.