Lumières sur la sécurité

jeudi 29 juin 2023

Dans les publications du projet Lumières sur la sécurité, nous parlons souvent de diverses cybermenaces auxquelles les utilisateurs sont exposés, qui sont devenues une partie intégrante de la vie moderne. L'infrastructure numérique qui nous entoure comprend un grand nombre d'appareils — ordinateurs personnels, Smartphones, téléviseurs intelligents et autres gadgets, ainsi que des équipements réseau, du stockage, des réseaux et des serveurs. Tout cela est contrôlé par d'innombrables programmes sous divers protocoles et algorithmes, le plus souvent de manière transparente pour l'utilisateur novice.

Nos lecteurs savent que ce système numérique d'interactions, mince mais complexe, a un problème fondamental : le problème de la sécurité. Le code malveillant peut affecter presque tous les niveaux d'échange d'informations, des vulnérabilités de bas niveau jusqu'à la fraude banale sur le réseau. Par conséquent, avec le développement des technologies numériques et la propagation des appareils intelligents, la question de la sécurité non seulement ne perd pas sa pertinence, mais, au contraire, devient la pierre angulaire de l'ensemble de l'industrie. Dans cette publication, nous allons parler des voitures.

Que viennent faire les voitures dans un article de notre blog, nous direz-vous, sûrement à juste titre ! Dans cet article, nous proposons de considérer la voiture sous un angle légèrement différent : à savoir, de la considérer non pas comme un moyen de transport, mais comme un véritable ordinateur. Plus un appareil, un programme ou un système est sophistiqué, plus il est potentiellement vulnérable. Essayons de déterminer si une voiture moderne peut devenir une cible pour les cybercriminels.

L'industrie automobile doit beaucoup au développement des technologies numériques. Pendant la majeure partie de son histoire, la voiture se composait d’éléments électriques assez simples. Le démarreur, les systèmes d'allumage et de puissance, plusieurs capteurs analogiques, l'éclairage c'est, peut-être, à peu près tout. Au fil du temps, l'équipement a été amélioré, divers mécanismes auxiliaires sont apparus pour augmenter le confort et la sécurité du chauffeur et des passagers, mais en règle générale, jusqu'au début des années 80, les voitures de série étaient principalement des véhicules mécaniques. L'émergence de microprocesseurs relativement bon marché a marqué le début d'une nouvelle ère dans l'industrie automobile. Ainsi, les systèmes de commande électroniques ont commencé à être massivement mis en place. Ce fut une percée technologique importante, car l'utilisation de l'électronique a permis d'augmenter l'efficacité des moteurs et de réduire la quantité d'émissions nocives.

La voiture moderne est un ordinateur sur roues. Plus précisément, c'est tout un système d'ordinateurs, qui sont appelés unités de commande électronique (ECU). Par exemple, l'alimentation du mélange carburant-air, l'allumage, le changement de calage des soupapes, le débitmètre d’air, et d'autres processus de l'unité de puissance contrôlent l'ECU du moteur. Pour le bon fonctionnement du moteur, l'ordinateur collecte et traite en permanence les informations reçues de nombreux capteurs, et donne des commandes aux actionneurs. D'autres systèmes importants de la voiture sont également équipés de leurs propres unités — l'ordinateur contrôle le changement de vitesse, le fonctionnement des freins, la transmission du couple à différents essieux dans les voitures à transmission intégrale et beaucoup, beaucoup d'autres. Mais ce n'est que la partie visible de l'iceberg. L'ouverture ou la fermeture des portes, le fonctionnement de l'ampoule dans le plafond, la qualité de l'air dans la cabine, tout cela est « connu » par l'électronique de la voiture.

Pour que tout fonctionne correctement, les blocs de différents systèmes doivent être en mesure d'échanger des informations les uns avec les autres. À cette fin, au début des années 80, un bus de données numériques a été inventé — le bus CAN (Controller Area Network). Il sert de canal de communication entre les unités de commande numériques pour la transmission de tous les signaux et commandes. Comme mentionné ci-dessus, une première commande numérique a été introduite dans les unités responsables du fonctionnement des composants les plus importants de la machine. Ensuite, les systèmes secondaires ont été connectés à un seul bus — systèmes de gestion du confort, multimédia et télémétrie. D'un point de vue physique, le bus CAN est une paire torsadée de conducteurs pour le passage du courant électrique. Certains niveaux de tension correspondent à un zéro logique ou à un un logique. Nous n'entrerons pas dans les détails du bus, mais notons que dans un tel système, les blocs peuvent communiquer entre eux de manière séquentielle et par ordre de priorité, tout cela se passe très rapidement et en temps réel.

Bien sûr, les unités de contrôle de voiture ne sont pas très similaires aux ordinateurs personnels, et le transfert de données dans le bus CAN est organisé différemment que dans le modèle TCP/IP habituel. Cependant, il existe des interfaces de connexion de bus CAN externes pour le diagnostic et le contrôle. C'est ici que la question de la sécurité se pose.

Comme nous l'avons vu, dans une machine moderne, l'ordinateur prend le contrôle de presque tous les nœuds. Ces dernières années, les systèmes de sécurité active ont connu un développement sérieux, les modèles haut de gamme ont à bord de nombreux « assistants » électroniques qui non seulement signalent des situations dangereuses au chauffeur, mais peuvent interférer avec le freinage et même la direction. Par conséquent, la tolérance aux pannes des systèmes électroniques est une priorité pour les constructeurs automobiles. Les unités de contrôle de voiture sont très fiables, elles sont conçues pour effectuer des tâches simples et uniformes. La transmission de données par bus CAN est protégée contre les interférences électromagnétiques dues à la paire torsadée et à l'utilisation de sommes de contrôle dans chaque trame de message. Après tout, si une unité électronique prend la mauvaise valeur et envoie la mauvaise commande à un actionneur, cela peut entraîner une situation très dangereuse sur la route.

Existe-t-il des logiciels malveillants qui peuvent prendre le contrôle d'une voiture ? Un intrus peut-il contrôler la machine de l'extérieur grâce à l'électronique embarquée ?

Il convient de noter qu'il y a 40 ans, les développeurs du bus CAN pensaient principalement à la tolérance aux pannes de l'équipement, mais pas à la cybersécurité et à la protection contre le piratage. Si nous faisons des analogies avec les réseaux informatiques, jusqu'à récemment, le réseau numérique de la voiture était considéré comme exceptionnellement isolé. Soulignons un certain nombre de caractéristiques clés de la transmission de données dans un tel réseau.

1. Les unités de la voiture (appelons-les nœuds) diffusent séquentiellement et dans l'ordre leurs messages au même bus.
2. Tous les nœuds sont égaux, n'importe lequel d'entre eux peut être à la fois l'expéditeur et le destinataire.
3. Le droit d'envoyer des données au bus est accordé au nœud dont le message a la priorité la plus élevée.
4. Le message envoyé est immédiatement disponible pour tous les nœuds du réseau.
5. L'architecture du bus CAN ne prend pas en charge le cryptage, toutes les données sont transmises en clair.
6. De plus, l'architecture de bus CAN ne prend pas en charge l'authentification des messages et des nœuds de communication.

De tout cela, il s'ensuit que, ayant accès au bus CAN, un attaquant peut effectuer diverses actions avec la voiture en envoyant de faux messages aux unités de contrôle. L'unité destinataire ne peut pas identifier un faux message et le filtrer car il n'existe pas de tels mécanismes de sécurité dans la mise en œuvre du protocole CAN. L'utilisation des sommes de contrôle mentionnées ci-dessus fournit une protection contre les interférences, mais pas contre l'usurpation ou l'interception de messages. A part cela, un attaquant peut effectuer un semblant d'attaque DoS sur une certaine unité, à la suite de quoi cette dernière se déconnectera de la communication. De plus, comme les données sont transmises sous une forme ouverte, ayant accès au bus, vous pouvez écouter les messages transmis à l'aide d'un renifleur et comparer les codes avec les commandes exécutées. Ici, vous pouvez faire une analogie complète avec l'analyse du trafic dans les réseaux TCP/IP.

Le réseau de nœuds CAN-bus étant isolé, un accès physique au bus ou au nœud est nécessaire pour le compromettre. Presque toutes les voitures fabriquées au cours des 30 dernières années ont un connecteur spécialisé pour connecter l'équipement de diagnostic, le port OBD (On-Board Diagnostics). Les unités de commande disposent d'un mécanisme d'autodiagnostic et peuvent enregistrer les codes d'erreur qui se produisent lors de certains dysfonctionnements de la machine. Ainsi, un point d'entrée potentiel pour une attaque sur un bus CAN peut être une connexion via une interface de diagnostic. Bien sûr, pour une attaque réussie, il faut, premièrement, introduire l'équipement dans le véhicule, deuxièmement, avoir un logiciel approprié et, enfin, être à proximité de la voiture. Tout cela rend un tel scénario d'attaque improbable, mais il y a une vulnérabilité pratique qui mérite d'être mentionnée. Certains propriétaires de voitures achètent des adaptateurs de diagnostic pour un usage personnel et les laissent connectés en permanence à la voiture. Dans ce cas, après la mise sous tension, l'adaptateur est en mode veille pour se connecter au programme de contrôle sans fil — Wi-Fi ou Bluetooth. Il est évident que le risque que quelqu'un passe à côté d'une telle machine pour s'y connecter est faible. Et même dans le cas d’une connexion, il est peu probable qu'un (non) invité bloque les freins ou, par exemple, éteigne l'alarme. Tout dépendra du programme de contrôle utilisé et des restrictions imposées par l'adaptateur de diagnostic lui-même. Cependant, comme indiqué ci-dessus, la vulnérabilité peut être trouvée, il faut donc faire attention à ne pas fournir à un attaquant potentiel une possibilité d'accès physique via le connecteur de diagnostic. De la même manière, les opérateurs suivent les machines d'autopartage.

C'est ici que le plus intéressant commence. L'industrie automobile, comme beaucoup d'autres industries, s’intéresse depuis longtemps à l'Internet des objets. Un véhicule ayant accès au réseau mondial n'est plus un fantasme, mais un phénomène tout à fait ordinaire. Les voitures modernes utilisent divers systèmes de télémétrie, peuvent suivre leur emplacement et transmettre tous les paramètres du bus CAN au fabricant, échanger des données avec les machines voisines pour prévenir les collisions, mettre à jour leur logiciel interne et bien plus encore. Cela est principalement dû au développement rapide des réseaux sans fil. La mise en œuvre de ces fonctions certainement utiles impose des exigences complètement différentes pour les systèmes de sécurité numérique intégrés. Après tout, un attaquant potentiel n'a plus besoin d'un accès physique à la voiture. Exploiter une ou plusieurs vulnérabilités pour contourner la protection standard permettrait d'accéder au système interne de la voiture avec toutes les conséquences qui en découlent.

Maintenant, de plus en plus de constructeurs automobiles offrent en option la possibilité de contrôler les fonctions individuelles de la voiture à l'aide d'un Smartphone. Les exemples incluent les systèmes de contrôle et de surveillance Mobikey de Hyundai et InControl de JLR. Dans l'application mobile, le propriétaire peut suivre l'emplacement de sa voiture, l'ouvrir ou la fermer, démarrer le moteur, gérer les systèmes de climatisation, multimédia et plus encore. Malgré toute la commodité d'une telle fonctionnalité, la vulnérabilité potentielle d'une telle approche devrait être prise en compte. Pour la mise en œuvre de la télécommande, chaque cabine est équipée d'un système de télémétrie. Les algorithmes de contrôle peuvent varier, mais impliquent à la fois l'électronique de la machine et les serveurs des constructeurs automobiles. Par exemple, simplifié, il peut ressembler à ceci. En donnant l'ordre de déverrouiller la porte du chauffeur, votre application mobile envoie une demande via Internet au serveur distant du constructeur automobile. Le serveur vérifie l'authenticité de la demande et renvoie les codes de déverrouillage à l'une des unités électroniques de votre voiture, qui est responsable du système central de verrouillage et d'antivol. Toutes ces connexions sur Internet devraient inclure un cryptage fort, l'authentification des parties, la protection contre divers types d'attaques et d'autres mécanismes de sécurité. Des erreurs dans la mise en œuvre d'algorithmes de contrôle à distance peuvent conduire au fait que la connexion sera vulnérable, et l'attaquant pourra, par exemple, envoyer sa demande de déverrouillage, qui sera acceptée comme légitime, ou intercepter des réponses du serveur pour une utilisation ultérieure. N'oubliez pas que l'unité de télémétrie est de toute façon connectée par un bus commun avec d'autres unités de la voiture, y compris celles d'importance critique. Malheureusement, de tels scénarios n'existent pas seulement sur le papier. Ainsi, en 2015, les chercheurs ont réussi à obtenir un contrôle presque complet sur les voitures de marque Jeep grâce à une vulnérabilité du système de télémétrie UConnect.

Il est à noter que conformément au concept de l'Internet des objets, la voiture peut ne pas être la cible ultime de l'attaque, mais seulement un lien intermédiaire. Par exemple, la synchronisation du système multimédia de la voiture et du Smartphone est déjà une fonction familière. Par conséquent, pour accéder, par exemple, à une liste de vos contacts, photos et autres informations confidentielles, ou à un autre appareil faisant partie de votre écosystème, un attaquant peut bien utiliser la vulnérabilité d'une voiture intelligente comme point d'entrée.

Les voitures intelligentes avec télémétrie, grâce à laquelle les constructeurs automobiles connaissent presque tout sur votre style de conduite ne sont pas encore très répandues. Mais les propriétaires de voitures plus simples mais néanmoins modernes devraient également être conscients de l'essence numérique de leurs véhicules. Par exemple, il existe un danger potentiel, en termes de sécurité informatique, lié aux boombox basés sur un système d'exploitation Android "pur". Tout d'abord, à la base, ce sont des appareils Android ordinaires, par conséquent, les logiciels malveillants correspondants peuvent fonctionner et travailler sur eux. Deuxièmement, en règle générale, ils ont une connexion au bus CAN de la voiture. Le problème n'est pas très courant, mais du point de vue pratique, rien ne vous empêche d'exécuter accidentellement un fichier APK malveillant avec un cheval de Troie sur un appareil vulnérable qui compromettra le réseau de bord de la voiture. Dans le même temps, il convient de noter que les unités de tête standard des constructeurs automobiles, si elles sont construites sur la base d'Android, ne vous permettent généralement pas d'exécuter des logiciels tiers.