Si vous avez récemment fait l’acquisition d’une voiture neuve, votre concessionnaire vous a sûrement fait l’éloge de sa connectivité, avec des mises à jour à distance et une multitude de services liés de près ou de loin à l’usage de votre voiture. Mais comme n’importe quel objet connecté, la question concernant la cybersécurité se pose. L’Union européenne apporte déjà un cadre à l’évolution de l’automobile vers la connectivité, mais est-ce suffisant ?
Souvenez-vous, lorsque vous avez récupéré votre première tour d’ordinateur HP P avilion il y a 20 ans, avec votre modem qui vous autorisait deux heures de navigation sur Internet par mois. Un temps que les moins de vingt ans ne peuvent pas connaître, et qui paraît être une période quasi-préhistorique face à l’ampleur qu’a pu prendre la connectivité dans notre monde.
Aujourd’hui, pratiquement tout peut être connecté : l’arrosoir des plantes, la montre, le carnet de notes, une tasse à café… Qui dit connectivité dit aussi sécurité, et si nos ordinateurs et nos smartphones sont aujourd’hui à la pointe, ce que l’on appelle les « nouveaux » objets connectés ne le sont pas forcément tous.
Une évolution constante qui n’est pas prête de s’arrêter
Alors certes, pour une tasse à café, il n’y a rien de bien dramatique, mais pour une voiture récente par exemple, la cybersécurité est devenue un enjeu majeur. L’Union européenne s’est déjà penchée sur le sujet il y a environ quatre ans en légiférant à ce sujet, mais face à l’évolution permanente de nos voitures et de leur hyper-connectivité, la cybersécurité est devenue un enjeu majeur de l’évolution de nos véhicules connectés.
En effet, qu’il est loin le temps où l’on démarrait une voiture avec une simple clé et un Neiman. Aujourd’hui, on envisage même de démarrer sa voiture avec un « Face ID », comme sur son smartphone, la voiture scannant simplement les traits de votre visage pour vous identifier et ainsi se mettre en marche. Continental a d’ailleurs déjà développé une technologie qui va dans ce sens, et cela pourrait arriver très prochainement sur nos voitures.
Et ça, ce n’est qu’une toute petite partie de ce que nos voitures connectées peuvent faire. Entre les clés numériques qui peuvent se partager (pour l’auto-partage à distance notamment), la technologie Car2X (voitures connectées avec les autres modèles et l’infrastructure urbaine) ou encore les mises à jour à distance OTA (over-the-air) désormais pratiquement quotidiennes pour certains modèles, la connectivité prend et prendra encore plus de place, surtout avec l’avènement de la voiture autonome.
Pour aller plus loin
On a pu essayer le « Face ID » des voitures grâce à cette tête flippante
Les voitures récentes et connectées peuvent donc être aujourd’hui la cible de cyberattaques, et nos confrères de Numerama ont d’ailleurs réalisé un dossier concernant les principales attaques que peuvent subir les voitures connectées.
Entre les vols de données, les accidents provoqués à distance en désactivant un système d’aide à la conduite ou encore rendre l’écran d’une voiture totalement inutilisable, les types de cyberattaques sont nombreux. Des Tesla sont même piratées chaque année pour un concours organisé entre hackers.
Que dit la réglementation européenne ?
Pour tenter de remédier à ces problèmes, la Commission européenne vient d’approuver deux nouveaux règlements (n° 155 et 156) qui visent à normaliser les éléments liés à la cybersécurité de nos voitures. Ces mesures ont évidemment pour but de protéger autant que faire se peut le consommateur, mais cela suscite évidemment quelques interrogations de la part des constructeurs et plus globalement des acteurs de la mobilité.
Une réglementation européenne est, par définition, un texte de loi que tous les États membres sont tenus de respecter strictement, sans possibilité d’amendement : il est donc transposé tel quel par les institutions et toutes les entreprises concernées.
Les réglementations n° 155 et 156, intitulés « Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne les mises à jour logicielles et le système de gestion des mises à jour logicielles », concernent donc tous les constructeurs automobiles du Vieux Continent : ces normes sont déjà entrées en vigueur pour tous les nouveaux modèles commercialisés à partir de juillet 2022 et deviendront obligatoires pour tous les nouveaux véhicules produits à partir du mois de juillet 2024.
Les deux textes sont longs et complexes, et nous ne vous en voudrons pas si vous ne les lisez pas. Pour résumer, ils stipulent que pour empêcher les logiciels malveillants d’entrer dans le système informatique de chaque voiture (soit par le réseau, soit par le système de diagnostic CAN bus), plusieurs parties du code de gestion du système interne doivent être réécrites.
Les deux nouveaux règlements invoquent également la mise en œuvre de plusieurs mesures dans quatre domaines, allant de la gestion des cyberrisques liés aux véhicules tout au long de la chaîne d’approvisionnement en matériel, à la réaction des constructeurs en cas de violation du système de sécurité dans les flottes, jusqu’au déploiement de mises à jour régulières, sûres et sécurisées des logiciels et la garantie que la sécurité des véhicules n’est pas compromise.
Comme le rapporte Automotive News, bien que l’industrie s’accorde à dire que la cybersécurité est une priorité pour les constructeurs automobiles, notamment pour garantir la sécurité des clients, toutes les marques ne sont pas satisfaites de ces nouvelles réglementations.
Des voitures devenues (déjà) trop compliquées ?
Parmi les principaux griefs, il y a notamment des modifications sur les systèmes actuels, dont la mise en œuvre nécessite des investissements économiques considérables, mais aussi de la part des équipementiers qui fournissent eux-mêmes la partie logicielle ou encore les matériaux nécessaires.
Parmi les principaux équipementiers, les deux leaders du marché dans le secteur automobile sont actuellement Continental et Bosch. Les deux entreprises se sont d’ailleurs exprimées il y a quelques jours et ont expliqué que les voitures étaient aujourd’hui beaucoup plus complexes. Une voiture neuve compte en moyenne environ 100 millions de lignes de code logiciel pour gérer tous les systèmes automatisés et autonomes et pour surveiller le bon fonctionnement du groupe motopropulseur.
Les clients une nouvelle fois lésés ?
Pour se conformer aux nouvelles réglementations européennes, cette quantité de données devra être analysée et, si nécessaire, entièrement réécrite, entraînant ainsi des coûts assez faramineux pour se conformer à ces nouvelles réglementations. Et qui va absorber le coût de ces nouvelles règles ? Le client bien sûr, puisque le prix des voitures devrait (encore) grimper.
Mathias Dehm, le responsable de la sécurité des produits et de la protection de la vie privée chez Continental, est d’accord avec la mise en œuvre de réglementations plus strictes, même si le défi semble de taille : « Si l’on revient cinq ans en arrière, il n’existait pas de norme ou de réglementation véritablement internationale dans ce domaine. Mais aujourd’hui, grâce aux réglementations claires de la CEE-ONU et à la norme internationale ISO/SAE 21434, l’industrie dispose d’un meilleur guide pour garantir un niveau commun de cybersécurité dans l’ensemble du secteur ».
De leur côté, si les fabricants de logiciels se disent satisfaits, c’est un peu différent du côté des constructeurs automobiles, avec un nouveau défi qui s’offre à eux, en plus de l’électrification à marches forcées. Et les nouvelles réglementations votées par l’Europe devraient d’ailleurs faire quelques dégâts à court terme pour certaines voitures.
C’est ce qu’a conformé le PDG du groupe Volkswagen, Thomas Schäfer, en évoquant le cas de la Volkswagen e-up!, la citadine électrique de la marque : « Pour la maintenir en production, nous aurions dû intégrer une architecture électronique entièrement nouvelle. Cela aurait été trop coûteux. Il était donc préférable de développer immédiatement une nouvelle voiture ».
La Volkswagen e-up! étant une voiture de conception assez « ancienne », même s’il s’agit d’une voiture électrique, rares sont les modèles qui vont disparaître « à cause » des coûts liés aux changements de règle en matière de sécurité. Toujours est-il que nous en sommes encore aux prémisses, et il y a de fortes chances pour que l’Union européenne continue de légiférer dans ce domaine, surtout avec l’accélération du développement de la voiture autonome et des infrastructures Car2X.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix