Axes de recherche

Les travaux de la chaire « Connected Cars & Cyber Security » se déclinent sur cinq axes.

Axe 1 – Cybersécurité : analyse de risques et sûreté de fonctionnement

Un des grands objectifs de cet axe est d’analyser et de formaliser le risque des cyberattaques d’un véhicule connecté (système embarqué) mais aussi de son infrastructure (système débarqué), et ainsi d’aboutir à la définition d’une méthode d’analyse de risques adaptée aux cas d’usage supportés. Les sources de menaces doivent être identifiées émanant des échanges relatifs aux différents messages  applicatifs transmis et reçus (CAM, DENM, etc.), du système embarqué et du comportement du conducteur (mauvaises pratiques volontaires ou involontaires). L’analyse de risque aura ainsi pour conséquence de définir les contre-mesures pour atténuer l’impact de ces menaces si celle-ci viennent à se concrétiser. Ce formalisme nécessite une compréhension des attaques actuelles et une modélisation fine des chemins d’attaques potentielles en fonction des architectures des véhicules, de l’infrastructure de communication, de leurs interactions et de leur finalité. En particulier, il est d’une importance vitale de considérer les attaques mettant en péril la sûreté de fonctionnement du véhicule et ainsi la sécurité des passagers.

Une deuxième catégorie d’objectifs vise à proposer des solutions de « cyberprotection/ cyberdéfense ». Des mécanismes de détection d’intrusion et de détection de comportements anormaux (misbehavior detection), permettent d’apprécier le niveau de risque et éventuellement alerter le conducteur ou le calculateur du véhicule pour agir rapidement. Par ailleurs, ces solutions de sécurité induisent des traitements  complémentaires qui ne doivent pas biaiser la sémantique initiale des traitements critiques des véhicules.

Axe 2 – Protection des données et des flux en temps réel, cryptographie et agilité

Cet axe a pour objectif de prendre en compte les contraintes fortes des véhicules (puissance de calcul, énergie, temps d’exécution, mémoire…) ainsi que les exigences en termes de performances qui incombent aux algorithmes cryptographiques et les protocoles de sécurité, en vertu de spécifications liées au véhicule et à la qualité de service de bout-en-bout pour les applications supportées.

Nous focaliserons sur les aspects suivants :

  • Cryptographie légère et robuste : La puissance de calcul disponible dans certains des calculateurs n’est pas forcément suffisante pour exécuter des algorithmes lourds. Il est donc nécessaire d’utiliser des algorithmes légers (en terme de puissance et de temps de calcul) mais néanmoins robustes. Un workshop (Lightweight Cryptography Workshop 2015) a été récemment créé et organisé par NIST (National Institute of Standards and Technology) autour de cette thématique. Sa deuxième édition est prévue en Octobre 2016.
  • Cryptographie temps-réel : Certains des flux à protéger subissent des contraintes liées au temps-réel. Les algorithmes doivent donc prendre en compte cet aspect.
  • Cryptographie agile : Il arrive que des faiblesses soient découvertes dans un algorithme cryptographique ou un protocole de sécurité les rendant vulnérables à des attaques. Dans ce cas, il est alors nécessaire de remplacer cet algorithme/ce protocole par un autre plus robuste. Le standard européen actuel fige les algorithmes (signature, chiffrement) et leurs paramètres (courbe ECC, taille des clés). Comme il n’est pas raisonnable dans ce cas de rappeler toutes les voitures utilisant ce standard pour pouvoir les mettre à jour, il est nécessaire de développer des standards de cryptographie agiles. Ces standards doivent prévoir la possibilité de mettre à jour les algorithmes utilisés lorsque cela est nécessaire, prévoir les mécanismes pour réaliser cette mise à jour sans interrompre le fonctionnement du véhicule ni sans qu’un adversaire puisse en profiter pour forcer une mise à jour vers un algorithme faible.

Axe 3 – Identity management, authentification

Les véhicules modernes font l’objet de multiples verrous sécuritaires liés d’une part à la complexité des systèmes informatiques embarqués mis en œuvre, et d’autre part aux problèmes émergents engendrés par l’automobile autonome et connectée.

Un premier défi est la définition d’une gestion d’identité pour des unités de traitement importantes, permettant des authentifications fortes pour les entités autorisées.

La conduite autonome induit une nouvelle gestion des risques pour le constructeur automobile. En l’absence de décision humaine, il devient responsable à travers ses systèmes informatiques embarqués de la sécurité de conduite du véhicule, et en particulier de la protection des informations de contrôle échangées.

L’interaction sécurisée entre les mobiles (smartphones) des passagers et le système du véhicule est également un enjeu important. De nombreux constructeurs envisagent le smartphone comme le point d’entrée des services disponibles en mode opérationnel ou en mode de maintenance.

L’automobile connectée fournit aux hackers via internet un accès permanent aux véhicules. Elle implique également un problème de respect de la vie privée lié à la collecte de données produites par le déplacement du véhicule mais aussi par ses interactions avec l’infrastructure routière ou citadine (smart city). Il devient nécessaire de concilier des contraintes légales, pour la consultation de logs par exemple, avec la privacy de l’utilisateur. Ces enjeux créent des problématiques de confidentialité des données similaires à l’équilibre respect de la vie privée versus enregistrement des données, déployé aujourd’hui dans l’internet (patriot act aux USA…).

En conclusion, cet axe implique des recherches pour un système d’identité, des communications sécurisées, et un stockage sécurisé adapté à l’éco système automobile.

Axe 4 – Résilience by design

La complexité croissante des véhicules due à l’automatisation pour aider, voire remplacer le conducteur doit embarquer des mécanismes de protection pour faire face aux cyberattaques. Une partie des solutions de  « cyberprotection » peuvent être basées sur la détection de phénomènes anormaux, comme des intrusions ou des actions non autorisées. Même si une alerte est levée il n’est pas garanti que le véhicule soit dans un état suffisamment « sain » pour assurer un niveau de sécurité élevé. Dans ce cas il peut être préférable d’arrêter le véhicule.

La résilience est une propriété qui permet d’éviter cette situation de blocage et de continuer à garantir le fonctionnement correct des organes vitaux du véhicule qui peut rester mobile. Elle nécessite une étude amont approfondie de l’architecture des véhicules et de leur infrastructure pour parer à des chemins d’attaques sophistiqués et aux différentes fautes possibles. Cet axe peut s’inspirer des systèmes redondants tolérants aux fautes, comme ceux rencontrés en avionique, mais avec une complexité accrue liée à la richesse des interfaces du véhicule, des nombreuses voies d’attaques et des interactions entre la sécurité et la sûreté de fonctionnement. Une autre piste est d’opérer une reconfiguration du système de protection en fonction de la nature de l’attaque. Ici aussi, des solutions inspirées du monde vivant sont en cours d’étude, par exemple mimant la capacité du système immunitaire à combattre l’attaque d’abord de manière générique (phagocytes) puis dans un second temps de manière ciblée (lymphocytes et anti-corps).

Axe 5 – Confiance et Données Personnelles (aspects juridiques et sociétaux)

Situé à la convergence entre l’industrie automobile, les nouvelles technologies et l’Internet des objets, le véhicule connecté capte et envoie de nombreuses données, parmi lesquelles figurent des « données personnelles ». Ces données sont définies sur le plan juridique comme toute information concernant une personne physique identifiée ou pouvant être identifiée directement ou indirectement. Elles sont collectées par des acteurs de plus en plus nombreux et de nature différente : les constructeurs automobiles, les assureurs, les équipementiers, les centres de maintenance, les gestionnaires du trafic routier prennent désormais place à côté des acteurs traditionnels que sont les opérateurs de télécommunications et les fournisseurs de services en ligne.

A cet égard, l’équilibre reste à trouver entre, d’une part, la création et l’usage des données personnelles, rendus souhaitables ou nécessaire par les impératifs d’intérêt général (sécurité routière, gestion du trafic, co-voiturage, innovation à partir des données générées, etc.), et, d’autre part, la protection des droits fondamentaux des citoyens, notamment le droit à la protection des données personnelles, le droit au respect de la vie privée ou le droit à la liberté de déplacement.

L’objectif de cet axe consiste dans un premier temps à cartographier les flux de données personnelles au sein de l’éco-système des véhicules connectés.

Cette cartographie nous permettra, dans un deuxième temps, d’identifier les risques liés à la création et à l’utilisation des données personnelles.

Dans un troisième temps, notre recherche apportera des éléments de réponse dans une approche intégrée associant des composantes juridique, technique, sociétal et éthique pour tenir compte des attentes des citoyens. Elle portera en particulier sur l’approche dite « user-centric », qui consiste à offrir au conducteur la possibilité de gérer en toute connaissance de cause et par lui-même la circulation de ses propres données.