Un des grands objectifs de cet axe est d’analyser et de formaliser le risque des cyberattaques d’un véhicule connecté (système embarqué) mais aussi de son infrastructure (système débarqué), et ainsi d’aboutir à la définition d’une méthode d’analyse de risques adaptée aux cas d’usage supportés. Les sources de menaces doivent être identifiées émanant des échanges relatifs aux différents messages applicatifs transmis et reçus (CAM, DENM, etc.), du système embarqué et du comportement du conducteur (mauvaises pratiques volontaires ou involontaires). L’analyse de risque aura ainsi pour conséquence de définir les contre-mesures pour atténuer l’impact de ces menaces si celle-ci viennent à se concrétiser. Ce formalisme nécessite une compréhension des attaques actuelles et une modélisation fine des chemins d’attaques potentielles en fonction des architectures des véhicules, de l’infrastructure de communication, de leurs interactions et de leur finalité. En particulier, il est d’une importance vitale de considérer les attaques mettant en péril la sûreté de fonctionnement du véhicule et ainsi la sécurité des passagers.
Une deuxième catégorie d’objectifs vise à proposer des solutions de « cyberprotection/ cyberdéfense ». Des mécanismes de détection d’intrusion et de détection de comportements anormaux (misbehavior detection), permettent d’apprécier le niveau de risque et éventuellement alerter le conducteur ou le calculateur du véhicule pour agir rapidement. Par ailleurs, ces solutions de sécurité induisent des traitements complémentaires qui ne doivent pas biaiser la sémantique initiale des traitements critiques des véhicules.
Cet axe a pour objectif de développer des algorithmes et des protocoles afin de protéger les différents flux d’information au sein du véhicule et entre le véhicule et le monde extérieur, tout en respectant les contraintes imposées par le véhicule et son environnement : légèreté et robustesse, temps réel et agilité.
Nous focaliserons sur les aspects suivants :
Un premier défi est la définition d’une gestion d’identité pour des unités de traitement importantes, permettant des authentifications fortes pour les entités autorisées.
La conduite autonome induit une nouvelle gestion des risques pour le constructeur automobile. En l’absence de décision humaine, il devient responsable à travers ses systèmes informatiques embarqués de la sécurité de conduite du véhicule, et en particulier de la protection des informations de contrôle échangées.
L’interaction sécurisée entre les mobiles (smartphones) des passagers et le système du véhicule est également un enjeu important. De nombreux constructeurs envisagent le smartphone comme le point d’entrée des services disponibles en mode opérationnel ou en mode de maintenance.
L’automobile connectée fournit aux hackers via internet un accès permanent aux véhicules. Elle implique également un problème de respect de la vie privée lié à la collecte de données produites par le déplacement du véhicule mais aussi par ses interactions avec l’infrastructure routière ou citadine (smart city). Il devient nécessaire de concilier des contraintes légales, pour la consultation de logs par exemple, avec la privacy de l’utilisateur. Ces enjeux créent des problématiques de confidentialité des données similaires à l’équilibre respect de la vie privée versus enregistrement des données, déployé aujourd’hui dans l’internet (patriot act aux USA…).
En conclusion, cet axe implique des recherches pour un système d’identité, des communications sécurisées, et un stockage sécurisé adapté à l’éco système automobile.
La complexité croissante des véhicules due à l’automatisation pour aider, voire remplacer le conducteur doit embarquer des mécanismes de protection pour faire face aux cyberattaques. Une partie des solutions de « cyberprotection » peuvent être basées sur la détection de phénomènes anormaux, comme des intrusions ou des actions non autorisées. Même si une alerte est levée il n’est pas garanti que le véhicule soit dans un état suffisamment « sain » pour assurer un niveau de sécurité élevé. Dans ce cas il peut être préférable d’arrêter le véhicule.
La résilience est une propriété qui permet d’éviter cette situation de blocage et de continuer à garantir le fonctionnement correct des organes vitaux du véhicule qui peut rester mobile. Elle nécessite une étude amont approfondie de l’architecture des véhicules et de leur infrastructure pour parer à des chemins d’attaques sophistiqués et aux différentes fautes possibles. Cet axe peut s’inspirer des systèmes redondants tolérants aux fautes, comme ceux rencontrés en avionique, mais avec une complexité accrue liée à la richesse des interfaces du véhicule, des nombreuses voies d’attaques et des interactions entre la sécurité et la sûreté de fonctionnement. Une autre piste est d’opérer une reconfiguration du système de protection en fonction de la nature de l’attaque.
Situé à la convergence entre l’industrie automobile, les nouvelles technologies et l’Internet des objets, le véhicule connecté capte et envoie de nombreuses données, parmi lesquelles figurent des « données personnelles ». Ces données sont définies sur le plan juridique comme toute information concernant une personne physique identifiée ou pouvant être identifiée directement ou indirectement. Elles sont collectées par des acteurs de plus en plus nombreux et de nature différente : les constructeurs automobiles, les assureurs, les équipementiers, les centres de maintenance, les gestionnaires du trafic routier prennent désormais place à côté des acteurs traditionnels que sont les opérateurs de télécommunications et les fournisseurs de services en ligne.
A cet égard, l’équilibre reste à trouver entre, d’une part, la création et l’usage des données personnelles, rendus souhaitables ou nécessaire par les impératifs d’intérêt général (sécurité routière, gestion du trafic, co-voiturage, innovation à partir des données générées, etc.), et, d’autre part, la protection des droits fondamentaux des citoyens, notamment le droit à la protection des données personnelles, le droit au respect de la vie privée ou le droit à la liberté de déplacement.
L’objectif de cet axe consiste dans un premier temps à cartographier les flux de données personnelles au sein de l’éco-système des véhicules connectés.
Cette cartographie nous permettra, dans un deuxième temps, d’identifier les risques liés à la création et à l’utilisation des données personnelles.
Dans un troisième temps, notre recherche apportera des éléments de réponse dans une approche intégrée associant des composantes juridique, technique, sociétal et éthique pour tenir compte des attentes des citoyens. Elle portera en particulier sur l’approche dite « user-centric », qui consiste à offrir au conducteur la possibilité de gérer en toute connaissance de cause et par lui-même la circulation de ses propres données.