Sécurité des voitures connectées : l’importance de l’identité

Depuis quelques années, de plus en plus de produits rejoignent l’Internet des Objets. S’il était auparavant réservé à de simples produits, il s’étend aujourd’hui à des produits haut de gamme tels que les voitures connectées. En effet, selon l’IDATE, en 2020, 420 millions d’automobilistes généreront un marché de connectivité d’une valeur de 9 milliards d’euros.

Cependant, les voitures, devenant de plus en plus de véritables plateformes informatiques au lieu d’être simplement un moyen d’aller d’un point A à un point B, sont également des cibles de plus en plus attrayantes pour les hackers. 40 millions d’automobilistes a notamment dévoilé en 2014 que trois quarts des voitures volées en France sont électroniquement piratées. Les questions de sécurité et d’identité doivent donc être prises en compte en faisant appel à des experts du domaine. La sécurité menée par l’identité va devenir une nécessité, et le contrôle de sécurité par le propriétaire est susceptible de devenir monnaie courante.
 
Voitures connectées : Un secteur en pleine expansion mais un manque de sécurité
La transformation numérique touche l’ensemble des secteurs d’activités mais en particulier celui de l’automobile. En effet, ce secteur est incontestablement en pleine mutation. Le métier des constructeurs automobiles évolue sans cesse et d’ici une dizaine d’années les sociétés automobiles seront totalement différentes, passant d’un profil de constructeurs à celui de prestataires de services.

L’ensemble des constructeurs et des sous-traitants du secteur automobile produisent aujourd’hui en majorité des smart devices, c’est-à-dire des objets intelligents tous connectables. Pourquoi ? Car à terme ils souhaitent récupérer l’ensemble des données attenantes à un véhicule (distance parcourue, vitesse, taux de freinage, etc.) pour fournir des services basés sur ces dernières. En effet, en manipulant ces données relatives à l’utilisateur, ils pourront lui fournir des services dédiés et ainsi augmenter leur part de marché.

On estime aujourd’hui qu’il y a entre 40 et 60 millions de voitures connectées dans le monde, chacune comportant un grand nombre d’objets intelligents eux-mêmes connectés à internet. D’ici 5 ans, ce chiffre devrait passer à plus de 200 000 millions. Seulement, on estime aussi que le niveau de sécurité de ces voitures est équivalent au niveau de sécurité dont disposaient les ordinateurs et les systèmes d’informations des entreprises des années 80-85…

Des voitures connectées encore trop vulnérables
A ce jour, énormément de tests ont été réalisés pour démontrer la vulnérabilité des voitures connectées, au cours desquels des ingénieurs spécialisés en sécurité ont pu à distance se connecter à des voitures. Une grande partie des véhicules proposés par les grandes marques du marché automobile ont en effet été testés et piratés. La totalité des constructeurs est réellement concernée par ce sujet.

Au cours de ces tests, les ingénieurs ont pu effectuer à distance différentes actions relativement bénignes : allumer la radio, activer les essuies glaces, allumer les feux, etc. Cependant, ils ont également réussi à baisser les vitres, à stopper le moteur sans que le conducteur de la voiture ne puisse le redémarrer ou encore à couper les freins sans que ce dernier ne puisse les réactiver. Ces prises de contrôle à distance peuvent donc avoir des conséquences graves si la personne aux commandes est un pirate informatique mal intentionné.

Un élément au cœur de la transformation numérique du secteur : l’identité
Aujourd’hui, l’ensemble des voitures dites « intelligentes » dispose d’un ordinateur de bord connecté à internet. A travers cette connexion internet, il est possible de se connecter à ces ordinateurs et d’accéder aux différents appareils tels que celui gérant l’allumage du moteur, le réglage des freins, etc.

Désormais lorsque l’on parle d’une automobile, l’identité est un élément central : identité de l’utilisateur, de la voiture, des dizaines voire des centaines d’objets connectés au sein d’un véhicule, etc. Le problème majeur est qu’il n’y a pas de corrélation entre l’identité du conducteur et l’ensemble des identités des objets intelligents présents dans la voiture.

En terme de sécurité, il faut créer cette relation pour que seule l’identité du conducteur, préalablement fortement authentifiée, puisse engager les actions sur ou au travers de l’identité des différents objets connectés. Ainsi lorsqu’un pirate cherchera à prendre le contrôle d’un véhicule à distance, son identité n’étant pas reconnue par les différents objets connectés, il n’y aura pas accès. Il est donc nécessaire de mettre en œuvre une plateforme de gestion des identités qui va permettre de contextualiser et de relier entre elles ces différentes identités.

Une authentification nécessaire mais non contraignante pour les voitures connectées
Lorsqu’il y a authentification de l’identité du propriétaire, le véhicule n’est pas forcément uniquement dédié à ce dernier. L’identité d’un véhicule ou d’un objet peut être reliée aux différentes identités physiques des individus qui auraient une interaction avec elle. Un véhicule peut par exemple être rattaché aux différents membres d’une famille avec une autorisation pour chacun des parents ainsi que pour leur fille titulaire du permis de conduire. De plus, chacun peut avoir des autorisations spécifiques quand aux différentes actions qu’ils vont pouvoir réaliser. On peut par exemple relier l’identité de la voiture à celle du fils âgé de 10 ans et lui interdire totalement d’avoir accès au contrôle du moteur, des freins, etc.

Enfin, au delà d’une base logicielle s’appuyant sur des standards d’authentification, différentes méthodes sont envisageables : empreinte digitale, reconnaissance faciale … et tout ce que les constructeurs seront capables d’imaginer dans les années à venir ! (Ismet Geri, vice-président France et Europe du sud chez ForgeRock)