• Home
  • Chimie
  • Astronomie
  • Énergie
  • La nature
  • Biologie
  • Physique
  • Électronique
    •  science >> Science >  >> Électronique
    Voici comment les pirates fabriquent votre Tesla, GM et Chrysler moins vulnérables aux attaques

    En mars, une Tesla Model 3 a été piratée.

    Le duo chargé de découvrir la vulnérabilité a accédé au navigateur Web de la voiture, exécuté du code sur son firmware et affiché un message sur le système d'infodivertissement avant de repartir avec la Model 3 et 375 $, 000.

    Les pirates n'ont pas pris à distance le contrôle total de la voiture ni n'ont fait de ravages sur ses serrures de porte ou ses freins alors qu'un conducteur innocent était assis à l'intérieur. En réalité, ils n'ont pu s'introduire dans aucun autre système du véhicule électrique, et l'argent qu'ils ont collecté est venu sous la forme d'un chèque de Tesla.

    Tout cela faisait partie d'un concours de cybersécurité de trois jours appelé Pwn2Own, un événement où Tesla paie le gros prix à toute personne assez magistrale pour trouver des bogues jusque-là inconnus. Corriger toute faiblesse aide le constructeur de voitures électriques à protéger les personnes qui conduisent ses véhicules, il espère.

    Alors qu'un nombre croissant de voitures deviennent des ordinateurs de haute technologie sur roues, les experts disent que les véhicules, comme tout ce qui se connecte à Internet, sont intrinsèquement piratables. Cela signifie que chaque voiture intelligente pourrait théoriquement être cambriolée et contrôlée à un certain niveau par des pirates informatiques avertis, criminels ou pire.

    Bien que des menaces non réalisées existent, Les efforts des constructeurs automobiles pour protéger les automobilistes vont au-delà de l'embauche d'équipes de sécurité internes expérimentées.

    Pour des entreprises comme Tesla, cela signifie inscrire des voitures dans des compétitions de tests tiers rigoureuses ou mettre en œuvre d'autres soi-disant « programmes de primes aux bogues » pour encourager les chercheurs en sécurité à localiser et à signaler activement tout point chaud sur le matériel de l'entreprise.

    À leur valeur nominale, encourager des personnes extérieures à rechercher des défauts peut sembler contre-intuitif. Cependant, non seulement le mouvement donne aux hackers qualifiés une chance de fléchir leurs muscles, mais cela aide aussi des entreprises comme Tesla, GM et d'autres renforcent la sécurité des voitures.

    "Nous pensons que pour concevoir et construire des systèmes intrinsèquement sécurisés, les fabricants doivent travailler en étroite collaboration avec la communauté de recherche en sécurité pour bénéficier de leur expertise collective, " Tesla a déclaré dans une déclaration aux États-Unis AUJOURD'HUI.

    Tesla a utilisé une mise à jour logicielle pour corriger la vulnérabilité trouvée par le « chapeau blanc, " ou éthique, pirates informatiques, ce qui est un avantage car les conducteurs n'ont pas à se rendre dans un atelier de réparation ou à payer des frais pour mettre à jour le logiciel d'une voiture.

    Programmes de primes aux bogues

    L'approche de Tesla pour boucher les trous d'accès a commencé avec son programme de primes aux bogues en 2014, cependant, ce n'est pas le seul constructeur automobile qui invite les pirates à tester des systèmes.

    Fiat Chrysler a mis en place un programme de primes aux bogues depuis 2016 et il paie les pirates jusqu'à 1 $, 500 à chaque fois qu'ils découvrent une vulnérabilité jusqu'alors inconnue. GM a officiellement lancé son programme de bug bounty en 2018 après avoir établi ce qu'il appelle le Security Vulnerability Disclosure Program en 2016.

    Plus de 500 chercheurs ont participé au programme de GM pour identifier et résoudre plus de 700 vulnérabilités.

    Ford a annoncé en janvier qu'il sélectionnait les meilleurs chercheurs pour participer à de futurs projets de piratage spéciaux.

    Afin de déjouer les pirates, les constructeurs automobiles et leurs fournisseurs adoptent de multiples approches pour protéger les voitures de tous les côtés, selon Asaf Ashkenazi, directeur de la stratégie chez Verimatrix, une société de logiciels de sécurité et d'analyse.

    Il a déclaré que les voitures d'aujourd'hui en sont aux premiers stades de ce qu'il a appelé une approche à trois volets de la sécurité des voitures intelligentes.

    "Ils filtrent les attaques évidentes de l'extérieur en essayant de créer des pare-feu entre les sous-systèmes, " dit-il. " Si l'on est compromis, le pirate ne peut pas passer à d'autres systèmes."

    Cette approche a été démontrée lors du piratage de Tesla, car la société basée à Palo Alto a réussi à contenir les dommages causés uniquement au navigateur tout en protégeant toutes les autres fonctions du véhicule.

    Mises à jour à distance

    Le prochain niveau de protection des constructeurs automobiles est la possibilité de mettre à niveau et de résoudre les problèmes via les ondes, dit Ashkénaze.

    Les constructeurs automobiles traditionnels ont pris du retard sur la capacité de Tesla à envoyer ces actualisations de style smartphone à ses clients. La société basée à Palo Alto utilise cette fonctionnalité pour tout mettre à jour, des modes de conduite semi-autonomes aux œufs de Pâques effrontés ou aux joyaux cachés.

    Lorsque vous répondez aux bogues, la société a résolu les problèmes grâce à des mises à jour logicielles quelques jours après la découverte des vulnérabilités.

    Aux côtés de Tesla, certains des modèles 2020 de Ford et General Motor permettront des mises à jour en direct qui peuvent mettre à niveau un véhicule avec de nouvelles fonctionnalités et réparer à distance les logiciels problématiques. La Cadillac CT5 2020 de GM sera livrée avec un nouveau « système nerveux numérique » qui rendra les mises à jour possibles.

    En mai, GM a annoncé que la plupart de ses modèles mondiaux seront capables de mises à niveau logicielles en direct d'ici 2023.

    Surveillance constante

    Le troisième niveau de protection des véhicules grand public consiste à faire en sorte que l'IA détecte qu'une voiture se comporte différemment. Cela donne aux constructeurs automobiles une meilleure chance d'identifier les attaques dès le début, dit Ashkénaze.

    Des éditeurs de logiciels tiers comme Argus Cyber ​​Security aident les constructeurs automobiles à développer et à intégrer ces types de capacités de diagnostic à distance pendant le processus de production.

    "Même si vous disposez d'une protection en temps réel à l'intérieur du véhicule, encore faut-il savoir qu'une de vos voitures est visée, " dit Monique Lance, directeur du marketing chez Argus Cyber ​​Security.

    C'est là qu'intervient la technologie de surveillance, permettant aux constructeurs automobiles d'effectuer une analyse croisée des données et d'identifier les comportements suspects qui pourraient autrement passer inaperçus.

    « Vous devez avoir la possibilité d'avoir une visibilité sur l'ensemble de votre flotte car il peut y avoir d'autres véhicules concernés, " dit Lance. " Il est primordial que vous sachiez ce qui se passe au sein du réseau. C'est beaucoup moins cher pour les constructeurs automobiles d'être en mesure de prévenir les attaques que d'y répondre une fois qu'elles se sont produites, de sorte que le service est vital."

    Pire scénario

    Lance a déclaré sans une approche en couches de la sécurité, des catastrophes vous attendent.

    Un exemple de ce à quoi cela pourrait ressembler s'est produit en 2015 lorsque des chercheurs en sécurité des données ont réussi à prendre le contrôle à distance d'un Jeep Cherokee. Fiat Chrysler a répondu en rappelant 1,4 million de voitures et de camions et en envoyant des clés UBS avec des correctifs logiciels aux propriétaires.

    Cette même année, un autre pirate informatique a révélé qu'il avait placé un petit boîtier électronique sur une voiture pour voler des informations du système OnStar de GM afin qu'il puisse ouvrir les portes et démarrer le véhicule. GM a déclaré que le piratage était isolé sur une voiture et qu'il a depuis fermé les échappatoires.

    Un piratage de véhicule à l'échelle de la flotte qui a entraîné la mort et la destruction n'a pas encore eu lieu, mais comme l'a déclaré le PDG de Tesla, Elon Musk en 2017, c'est "l'un des plus gros risques pour les véhicules autonomes". Il a ajouté qu'un piratage de Tesla à l'échelle de la flotte est "fondamentalement impossible".

    Partenariats

    Les constructeurs automobiles collaborent pour empêcher ce type de scénarios de se produire.

    Créé en 2015, le groupe de partage d'informations et d'analyse de l'industrie, appelé Auto ISAC, se consacre à la recherche et à la création de meilleures pratiques en matière de cybersécurité. Mitsubishi Électrique, PACCAR, Volvo Group North America et American Trucking Associations ont rejoint le pacte en 2018.

    L'organisation à but non lucratif affirme que 98% des véhicules en circulation aux États-Unis sont représentés par des sociétés membres. Une approche collaborative est un pas dans la bonne direction, Ashkénaze, l'expert en cybersécurité, mentionné.

    « Mais former des groupes et créer des directives ne fonctionnent pas nécessairement dans toutes les situations, à toutes les voitures. Arriver à ce point est très difficile et prendra beaucoup de temps."

    (c)2019 États-Unis aujourd'hui
    Distribué par Tribune Content Agency, LLC.




    Électronique
    Science
    Science
  • Chimie
  • Astronomie
  • Énergie
  • La nature
  • Biologie
  • Physique
  • Électronique
  • Géologie
  • Éclipse solaireen
  • Mathen
  • Autres
  • Nanotechnologie
    • Électronique
    Science
    © Science https://fr.scienceaq.com