La sécurité à bord des véhicules est possible

Posted By : Victoria Chercasova
La sécurité à bord des véhicules est possible

Les véhicules modernes sont dotés d'une multitude de fonctions comprenant des interfaces vers l'extérieur qui rendent les voyages plus agréables. Toutefois, ces interfaces constituent également des brèches pour attaquer le véhicule. La solution : des fonctions de sécurité reposant sur le matériel.

À l'avenir, la communication V2I (Vehicle to Infrastructure) et V2V (Vehicle to Vehicle) – regroupée sous la désignation V2X (Vehicle to Everything) – représentera un marché qui se chiffre en milliards de dollars et qui suscite également de plus en plus l'attention des consommateurs. L'un des objectifs de la communication V2X réside dans la réduction du nombre d'accidents grâce à l'échange d'informations. Le ministère des transports des États-Unis, l'USDOT, a découvert, à travers une analyse des accidents de la route entre 2004 et 2008, que les systèmes V2X sont en mesure d'éviter 4,5 millions d'accidents, soit 81 % de tous les accidents.

 

Menaces

Le V2X ne jouit pas d'une très grande popularité jusqu'ici. Cela est entre autres dû aux nombreux retours négatifs concernant la sécurité de la communication V2X. L'une des principales menaces réside dans les cyberattaques. Si le système informatique du véhicule ou le système de téléphonie mobile est piraté, des dommages matériels peuvent en résulter ; si le véhicule est en mouvement, une attaque peut même mettre des vies en danger. En 2015, deux chercheurs en sécurité sont parvenus à accéder à distance au bus de données CAN d'une Jeep Cherokee, leur permettant ainsi de prendre le contrôle du véhicule ; ils ont utilisé une brèche dans le système d'infodivertissement basé sur Linux. Un an plus tard, les deux chercheurs ont réussi une nouvelle fois de prendre le contrôle de la direction d'une Jeep Cherokee au moyen d'un ordinateur portable raccordé à l'interface de diagnostic embarqué de la voiture.

Lors du développement de CAN il y a plusieurs décennies, la sécurité n'était pas une préoccupation. Par conséquent, CAN ne garantit donc pas la confidentialité des données et les signaux sont transmis en mode de diffusion. Les voitures modernes échangent des messages via le bus de données CAN, par exemple pour ouvrir les portes et pour démarrer le moteur. À cet effet, des messages sont échangés entre une ECU dans le véhicule et une clé électronique. Si ce système était compromis, un voleur pourrait facilement voler la voiture.

Par ailleurs, des standards de communication sans fil tels que Bluetooth, GPRS ou UMTS pour les fonctions internet mobiles telles que les e-mails, les SMS, le streaming vidéo, les appels vidéo, etc. ont augmenté les « angles d'attaque » pour les pirates. Ainsi, ils ne peuvent pas seulement prendre le contrôle du véhicule mais également introduire des logiciels malveillants afin de voler à distance des données du véhicule telles que sa position, les itinéraires fréquemment empruntés et des conversations entières. Étant donné que la « T-BOX » (Telematics Control Unit) se charge aujourd'hui de toutes les fonctions de communication évoquées ci-dessus, la sécurité est devenue une préoccupation centrale.

 

La solution

Quelles sont les caractéristiques qu'une architecture matérielle doit présenter pour que les ECU répondent aux exigences les plus poussées en matière de sécurité et soient protégées contre les manipulations illicites, les installations non autorisées, le chargement de logiciels malveillants, les chevaux de Troie et les mises à niveau contrefaites ? Le cryptage des données est une méthode efficace pour garantir l'intégrité, la disponibilité et la confidentialité des données au sein du bus de communication du réseau du véhicule. Les méthodes de cryptage peuvent ainsi prévenir les cyberattaques.

Divers groupes d'intérêt consacrés au thème de la sécurité ont été créés au cours des dernières années dans le but de proposer des directives relatives au design et à la vérification de systèmes capables de résister aux attaques de pirates et aux tentatives de manipulation.

Le projet de recherche EVITA financé par l'UE auquel plusieurs entreprises telles que BMW, Continental, Fujitsu, Infineon et Bosch ont collaboré, en est un exemple. EVITA a permis d'élaborer une série de directives décrivant en détail le design, la vérification et le prototypage de diverses architectures de sécurité pour les ECU automobiles. EVITA prévoit que toutes les ECU critiques soient équipées d'une puce comprenant non seulement une boîte noire transactionnelle ou HSM (Hardware Security Module) dédié mais également l'UC ce qui a donné lieu à la définition de trois profils d'exigences différents concernant le HSM : Full, Medium et Light. Ces modules cryptent et décryptent toutes les informations échangées entre les ECU.

Sur la base du standard EVITA, de plus en plus de fabricants de semi-conducteurs implémentent une « Secure Zone » (également appelée « Trust Anchor ») dans leurs microcontrôleurs/microprocesseurs. STMicroelectronics a par exemple intégré des HSM aussi bien dans sa famille de microcontrôleurs SPC5 (MCU), basée sur l'architecture Power, que dans ses processeurs à cœur ARM, par ex. STA1385 TCU (Telematics Control Unit).

Ces circuits intégrés avec HSM offrent une protection complète contre les cybermenaces. Le HSM est un sous-système isolé possédant son propre cœur de processeur sécurisé, sa propre mémoire vive et sa propre mémoire flash (code et données). En outre, les HSM comportent des accélérateurs matériels pour la cryptographie. Chez ST, il s'agit de l'accélérateur de cryptographie C3 qui comprend également un authentique générateur de nombres aléatoires (TRNG). Les données et interruptions matérielles sont échangées via une interface matérielle entre le HSM et le processeur d'applications.

Le HSM se charge non seulement du contrôle d'accès, il est également en mesure de générer d'authentiques nombres aléatoires grâce au TRNG intégré et d'exécuter toutes les autres fonctions de cryptage. Comme mentionné plus haut, le bus de données CAN ne présente qu'un faible niveau de sécurité et ne peut donc pas garantir la confidentialité et l'intégrité des données transmises. À l'aide de données cryptées, une transmission de données sécurisée est toutefois aussi possible via ce dernier. Des algorithmes de cryptage asymétriques et symétriques avec des fonctions de hachage, des MAC (Message Authentication Code) ou des CMAC assurent la confidentialité, l'intégrité et la disponibilité des données, une signature numérique et l'authentification des données. Toutes les fonctions d'encodage et de décodage sont implémentées dans le matériel de sorte à ne pas surcharger l'UC hôte.

Application typique

Secure Boot

La fonction Secure Boot permet de valider l'intégrité du chargeur d'amorçage ou bootloader. À cet effet, le HSM de la MCU commence par charger le bootloader depuis la mémoire flash via le contrôleur de bus. À l'aide d'une clé secrète prédéfinie, le HSM peut calculer un MAC (Message Authentication Code) pour le message reçu ; si le MAC calculé correspond au MAC de boot enregistré, l'intégrité des données est assurée et la MCU peut utiliser le bootloader.

Communication sécurisée

Le HSM permet également une communication sécurisée. L'exemple suivant illustre comment cela est possible : une ECU centrale communique avec l'ECU d'un capteur. Comme expliqué précédemment, chaque HSM dispose d'un TRNG et d'un moteur de cryptage matériel. L'ECU centrale génère un nombre aléatoire et l'envoie à l'ECU du capteur. Le capteur reçoit le nombre aléatoire, mesure parallèlement ses données et active son propre HSM pour crypter les données mesurées à l'aide du nombre aléatoire de l'ECU. L'ECU du capteur renvoie les données cryptées à l'ECU centrale. Celle-ci décrypte les données à l'aide de son propre nombre aléatoire. Ensuite, le nombre aléatoire transmis est comparé au nombre aléatoire reçu afin de vérifier l'intégrité des données et l'authenticité. Le TRNG offre une protection contre les attaques par rejeu tandis que le cryptage protège des « écoutes clandestines ».

Protection de la mémoire flash

Étant donné que le firmware et les configurations de sécurité telles que les mots de passe et les clés sont enregistrés dans la mémoire flash du contrôleur, la protection de ce dernier est également décisive. Pour cette raison, les MCU SPC5 de ST sont équipées de deux modules dont l'unique mission est la protection de la mémoire : le module TDM force le logiciel à écrire un jeu de données dans une certaine zone de la mémoire flash avant de pouvoir supprimer un ou plusieurs blocs dans un TDR (Tamper Detection Region). Le module PASS effectue, quant à lui, une comparaison des mots de passe avant d'autoriser l'écriture ou la suppression dans la mémoire flash.

Configuration de sécurité système

Afin de garantir le déroulement sécurisé du démarrage du système après une réinitialisation, l'intégrité de toutes les configurations initiales enregistrées (Device Configuration Formats, DCF) est vérifiée avant le redémarrage de sorte à prévenir tout accès illicite et toute modification non autorisée. Par ailleurs, plusieurs caractéristiques de sécurité peuvent être vérifiées. De cette manière, il est possible d'enrayer toute tentative de modifier les contenus à certains emplacements de mémoire à l'aide de différentes méthodes d'attaque ou de charger des firmware malveillants pendant le boot.

Conclusion

Les mesures de sécurité informatique dans les véhicules sont essentielles. L'utilisation de semi-conducteurs modernes à HSM intégré aide à améliorer la sécurité et permet une implémentation plus efficace.

 

 


Connectez-vous afin de laisser un commentaire

Laissez un commentaire

Aucun commentaire




Sign up to view our publications

Sign up

Sign up to view our downloads

Sign up

SPS IPC Drives 2019
26th November 2019
Germany Nuremberg Messe
Vietnam International Defense & Security Exhibition 2020
4th March 2020
Vietnam National Convention Center, Hanoi