Cybersécurité dans les transports publics

cyber-security
Emmanuelle Saux
Emmanuelle Saux

Cybersécurité dans les transports publics

La notion de Cybersécurité est très souvent associée au piratage de données financières ou d’entreprise, mais pas nécessairement à celle de véhicules, et plus particulièrement dans le transport public. Et pourtant, la faille existe bel et bien et c’est d’ailleurs une expérience de piratage d’un véhicule, réalisée en 2015, qui a mis le feu aux poudres. Cela ne concernait pas un véhicule de transport public, mais l’impact a été tel qu’il a fait bouger les choses dans tous les secteurs du transport. Deux chercheurs en sécurité informatique ont ainsi piraté à distance un Jeep Cherokee, alors que jusque-là cela n’avait été fait qu’en étant à l’intérieur du véhicule. La vidéo est particulièrement explicite, et montre comment les 2 chercheurs américains arrivent à se connecter sur les données du véhicule, pour prendre la main sur de nombreuses fonctions, jusqu’à couper la transmission alors que le véhicule est lancé sur l’autoroute. Aucun dommage n’est à déplorer puisque cela a été fait dans le cadre d’une expérience, mais l’aventure a généré beaucoup d’inquiétudes. Fort heureusement celles-ci ont débouché sur la mise en place de réglementations obligeant les constructeurs à maitriser les niveaux de protections informatiques des nouveaux véhicules produits.

Comment est-ce possible de rentrer dans les données d'un véhicule ?

L’exemple cité plus haut est inquiétant car le piratage a été effectué à distance, ce qui implique que le réseau internet reliant le véhicule au serveur de données devient une porte d’entrée aux potentiels hackers, qui n’ont plus besoin de se connecter manuellement à une simple prise.  Aujourd’hui, nous sommes tous entourés d’objets connectés et il est impossible de stopper le développement de l’IoT (internet des objets) qui explose chaque année un peu plus.

Dans un véhicule de transport urbain, dans notre cas un autobus, les données relatives au véhicule sont ainsi transmises en temps réel via une passerelle ou plateforme communicante, qui sont réceptionnées sur des serveurs de traitement de données. Les données montantes permettent de répondre aux différents besoins de l’exploitation du véhicule : les kilomètres parcourus, l’autonomie, les temps d’arrêts, etc… toutes ces données remontent via le réseau internet pour alimenter le serveur d’exploitation.

Les données descendantes, mises à jour d’un logiciel, intégration d’un correctif, etc… servent alors pour la maintenance du véhicule par exemple, et sont souvent réalisées grâce à une valise diagnostic pour entrer dans le système. Dans ce cas, il existe 2 portes d’entrées : la prise OBD « On Board Diagnostic » standard ou bien sur le boitier communicant.

Avec 2 entrées physiques et 1 entrée virtuelle pour accéder aux données du véhicule, on comprend que la mise en place de sécurités informatiques est cruciale pour éviter tout piratage.

Vous pourriez également consulter

0 %
des sociétés de transport en commun ont mis en place une stratégie de cybersécurité
Source : Mineta Transportation Institute (MTI)
0 %
des cyberattaques en 2021 concernait le secteur des transports
Source : Rapport IBM Security X-Force Threat Intelligence Index 2022)
cybersecurite
Quels sont les risques d'un piratage de véhicule ?

Une cyberattaque sur un véhicule de transport urbain peut facilement être comparée à une prise d’otage, ou pire à un attentat, si les hackers ont de mauvaises intentions.  Les hackers prendraient ainsi le contrôle partiel ou total du véhicule et de ses passagers, et pourraient le détourner de sa voie habituelle, causant de nombreux accidents de la circulation avec toutes les conséquences dramatiques que cela engendrerait. C’est bien sûr le cas extrême, mais qui suscite le plus de craintes de la part des exploitants et des pouvoirs publics.

D’autres risques, moins tragiques mais tout aussi dangereux, sont également à prendre en considération. Les pirates informatiques auraient la capacité d’entrer dans le serveur du réseau de transport via un véhicule sur lequel ils se seraient connectés, et pourraient stopper tout le réseau de transport, causant une panique générale. Enfin, les pirates peuvent tout simplement entrer dans le système du véhicule pour envoyer de fausses informations et par exemple, voler le véhicule alors qu’il apparait toujours sur le réseau de l’exploitant.

Tous ces risques font l’objet de surveillances extrêmes de la part des constructeurs qui mettent en place de nombreux systèmes de sécurité pour garantir la fiabilité de leurs produits et pour répondre aux exigences réglementaires (voir plus bas).

Comment les lois ont-elles intégré ces risques ?

Dans le contexte de l’harmonisation des règlements concernant les véhicules (WP.29 de la CEE-ONU), deux nouvelles lois ont été mise en place, couvrant ces sujets clés : La cybersécurité (R155) et la mise à jour du logiciel (R156). 

La règlementation R155 est une méthode d’analyse des risques listant un ensemble de menaces liées à la cybersécurité. L’objectif de cette règlementation est la prise en considération de menaces aussi bien embarquées (pénétration dans les échanges de communication internes du bus) que débarquées (notamment l’interception des remontées de données depuis le bus, ou l’attaque directe des serveurs de stockage de données). Les mesures qui sont et seront mises en place feront l’objet d’un audit externe par un organisme d’Etat reconnu (UTAC, Bureau Veritas…) afin de garantir une conformité du bus par rapport aux exigences relatives à la cybersécurité. Cette réglementation est obligatoire depuis le 6 juillet 2022.

La réglementation R156 oblige les constructeurs de bus à démontrer leur conformité aux nouvelles exigences relatives aux versions des logiciels des véhicules et à la manière de les gérer. Tout comme la R155 pour la cybersécurité, les constructeurs doivent prouver la traçabilité des composants logiciels tout au long du cycle de vie du véhicule. Ces nouvelles règles, imposées par la loi pour toute nouvelle homologation de véhicule, ont également un impact sur les fournisseurs et les autres acteurs de la chaîne d’approvisionnement. En effet, toute mise à jour logicielle devant être déployée par un constructeur sur un véhicule, qu’elle soit développée en interne ou fournie par des fournisseurs supervisés par lui, nécessite un ensemble d’activités spécifiques en fonction de leur impact sur les systèmes homologués du véhicule. 

Comment SAFRA gère la cybersécurité sur ses véhicules ?

La protection des données est un sujet très sensible et au centre de toutes les attentions des équipes SAFRA, et ce quel que soit le service. Nous avons pris en compte la cybersécurité sur nos programmes Hycity (autobus hydrogène) et H2-pack (kits de rétrofit hydrogène pour autocars interurbains) dès le début, et nous avons pour consigne d’éviter tout comportement qui pourrait présenter un risque. Cette rigueur interne est demandée de la même manière à nos fournisseurs, en mettant en place des niveaux de protections élevés.

cyber-security-public-transport-vehicles
Cet article vous a plu, n'hésitez pas à le partager sur les réseaux sociaux
Facebook
Twitter
LinkedIn
Email
Print
D'autres articles susceptibles de vous plaire
Un nouvel ennemi dans l'air : La nanoparticule

Un nouvel ennemi dans l’air : La nanoparticule

1 juin 2023

Quatrième source de mortalité dans le monde, la pollution de

En savoir plus »
cyber-security

Cybersécurité dans les transports publics

1 mai 2023

Cybersécurité dans les transports publics La notion de Cybersécurité est

En savoir plus »
Mobilité zéro émission

Mobilité zéro émission : lois pour sortir des énergies fossiles

1 avril 2023

Mobilité zéro émission On ne cesse de le répéter, 31%

En savoir plus »
Retourner au blog
En savoir plus sur Safra