Le jour où les voitures pourront se parler – et aux feux de circulation, panneaux d'arrêt, garde-corps et même des marquages ​​au sol – approche à grands pas. Poussé par la promesse de réduire les embouteillages et d'éviter les accidents, ces systèmes sont déjà déployés sur les routes des États-Unis.

Par exemple, le système de signalisation routière intelligent, développé avec le soutien du Département des Transports des États-Unis, a été testé sur les routes publiques en Arizona et en Californie et est plus largement installé à New York et Tampa, Floride. Il permet aux véhicules de partager leur position et leur vitesse en temps réel avec les feux de circulation, qui peut être utilisé pour optimiser efficacement la synchronisation du trafic en coordination avec la demande de trafic en temps réel afin de réduire considérablement le temps d'attente des véhicules dans une intersection.

Notre travail, du RobustNet Research Group et du Michigan Traffic Laboratory de l'Université du Michigan, se concentre sur la garantie que ces systèmes de transport de nouvelle génération sont sécurisés et protégés contre les attaques. Jusqu'à présent, nous avons constaté qu'ils sont en fait relativement faciles à tromper. Une seule voiture qui transmet de fausses données peut provoquer d'énormes embouteillages, et plusieurs voitures d'attaque pourraient travailler ensemble pour fermer des zones entières. Ce qui est particulièrement inquiétant, c'est que nos recherches ont révélé que la faiblesse ne réside pas dans la technologie de communication sous-jacente, mais dans les algorithmes réellement utilisés pour gérer le flux de trafic.

Tromper un algorithme

En général, les algorithmes sont censés prendre en compte une variété d'entrées - telles que le nombre de voitures se trouvant à divers endroits autour d'une intersection - et calculer une sortie qui répond à un objectif particulier - comme minimiser leur retard collectif aux feux de circulation. Comme la plupart des algorithmes, l'algorithme de contrôle du trafic dans Intelligent Traffic Signal System - surnommé "I-SIG" - suppose que les entrées qu'il reçoit sont honnêtes. Ce n'est pas une hypothèse sûre.

Le matériel et les logiciels des voitures modernes peuvent être modifiés, soit physiquement via les ports de diagnostic de la voiture, soit via des connexions sans fil, ordonner à une voiture de transmettre de fausses informations. Quelqu'un qui voulait compromettre le système I-SIG pourrait pirater sa propre voiture en utilisant de telles méthodes, conduire jusqu'à une intersection cible et se garer à proximité.

Une fois garé près de l'intersection, nous avons découvert que l'attaquant pouvait tirer parti de deux faiblesses de l'algorithme contrôlant le feu pour prolonger la durée pendant laquelle une voie de circulation particulière obtient un feu vert - et, de la même manière, le temps que les autres voies obtiennent des feux rouges.

La première vulnérabilité que nous avons trouvée, que nous appelons "dernier avantage du véhicule, " est un moyen d'allonger la longueur d'un signal de feu vert. L'algorithme garde un œil sur les voitures qui s'approchent, estime la longueur de la file de voitures et détermine combien de temps il pense qu'il faudra à tous les véhicules d'une file de circulation pour traverser l'intersection. Cette logique aide le système à servir autant de véhicules que possible à chaque cycle de changements de lumière, mais il peut être abusé. Un attaquant peut ordonner à sa voiture de déclarer faussement avoir rejoint la file de voitures très tard. L'algorithme tiendra alors le feu vert attaqué assez longtemps pour que cette voiture inexistante passe, conduisant à un feu vert - et en conséquence, feux rouges pour les autres voies - c'est beaucoup plus long que nécessaire pour les voitures réelles sur la route.

Nous avons appelé la deuxième faiblesse que nous avons trouvée la "malédiction de la période de transition, " ou "l'attaque de véhicule fantôme". L'algorithme I-SIG est conçu pour tenir compte du fait que tous les véhicules ne peuvent pas encore communiquer. Il utilise les schémas de conduite et les informations des plus récents, voitures connectées pour déduire l'emplacement et la vitesse en temps réel des plus anciennes, véhicules non communicants. Par conséquent, si une voiture connectée signale qu'elle est arrêtée à une longue distance d'une intersection, l'algorithme supposera qu'il y a une longue file de véhicules plus anciens faisant la queue devant lui. Ensuite, le système attribuerait un long feu vert à cette voie en raison de la longue file d'attente qu'il pense être là, mais vraiment pas.

Ces attaques se produisent en faisant mentir un appareil sur sa propre position et sa propre vitesse. C'est très différent des méthodes de cyberattaque connues, comme injecter des messages dans des communications non cryptées ou avoir un utilisateur non autorisé se connectant avec un compte privilégié. Par conséquent, les protections connues contre ces attaques ne peuvent rien contre un appareil menteur.

Résultats d'un algorithme mal informé

En utilisant l'une de ces attaques, ou les deux de concert, peut permettre à un attaquant de donner de longues périodes de feux verts aux voies avec peu ou pas de trafic et des feux rouges plus longs aux voies les plus fréquentées. Cela provoque des sauvegardes qui grandissent et grandissent, en fin de compte en embouteillages massifs.

Ce type d'attaque contre les feux de circulation peut être juste pour le plaisir ou pour le propre avantage de l'attaquant. Imaginer, par exemple, une personne qui souhaite avoir un trajet plus rapide en ajustant son propre horaire de feux de circulation, au détriment des retards des autres conducteurs. Les criminels, trop, pourraient chercher à attaquer les feux de circulation pour faciliter leurs escapades des scènes de crime ou pour poursuivre les voitures de police.

Il existe même des dangers politiques ou financiers :un groupe coordonné pourrait fermer plusieurs intersections clés dans une ville et exiger le paiement d'une rançon. C'est beaucoup plus perturbant, et plus facile de s'en sortir, que d'autres moyens de bloquer les intersections, comme garer une voiture à travers la circulation.

Parce que ce type d'attaque exploite l'algorithme de contrôle du trafic intelligent lui-même, sa résolution nécessite des efforts conjoints des domaines des transports et de la cybersécurité. Cela inclut la prise en compte de l'une des leçons les plus générales de notre travail :les capteurs sous-jacents aux systèmes interactifs - tels que les véhicules du système I-SIG - ne sont pas intrinsèquement dignes de confiance. Avant d'entreprendre des calculs, les algorithmes doivent tenter de valider les données qu'ils utilisent. Par exemple, un système de contrôle du trafic pourrait utiliser d'autres capteurs - comme des capteurs routiers déjà utilisés dans tout le pays - pour vérifier combien de voitures sont réellement présentes.

Ce n'est que le début de nos recherches sur de nouveaux types de problèmes de sécurité dans les systèmes de transport intelligents du futur, qui, nous l'espérons, permettra à la fois de découvrir des faiblesses et d'identifier des moyens de protéger les routes et les conducteurs qui s'y trouvent.

Cet article a été initialement publié sur The Conversation. Lire l'article original.