Cybersécurité dans les transports publics

cyber-security

Cybersécurité dans les transports publics

La notion de Cybersécurité est très souvent associée au piratage de données financières ou d’entreprise, mais pas nécessairement à celle de véhicules, et plus particulièrement dans le transport public. Et pourtant, la faille existe bel et bien et c’est d’ailleurs une expérience de piratage d’un véhicule, réalisée en 2015, qui a mis le feu aux poudres. Cela ne concernait pas un véhicule de transport public, mais l’impact a été tel qu’il a fait bouger les choses dans tous les secteurs du transport. Deux chercheurs en sécurité informatique ont ainsi piraté à distance un Jeep Cherokee, alors que jusque-là cela n’avait été fait qu’en étant à l’intérieur du véhicule. La vidéo est particulièrement explicite, et montre comment les 2 chercheurs américains arrivent à se connecter sur les données du véhicule, pour prendre la main sur de nombreuses fonctions, jusqu’à couper la transmission alors que le véhicule est lancé sur l’autoroute. Aucun dommage n’est à déplorer puisque cela a été fait dans le cadre d’une expérience, mais l’aventure a généré beaucoup d’inquiétudes. Fort heureusement celles-ci ont débouché sur la mise en place de réglementations obligeant les constructeurs à maitriser les niveaux de protections informatiques des nouveaux véhicules produits.

Comment est-ce possible de rentrer dans les données d'un véhicule ?

L’exemple cité plus haut est inquiétant car le piratage a été effectué à distance, ce qui implique que le réseau informatique reliant le véhicule au serveur de données devient une porte d’entrée aux potentiels hackers, qui n’ont plus besoin de se connecter manuellement à une simple prise.  Aujourd’hui, nous sommes tous entourés d’objets connectés, l’IoT (internet des objets) explose chaque année un peu plus.

Dans un véhicule de transport urbain, dans notre cas un autobus, les données relatives au véhicule sont ainsi transmises en temps réel depuis des capteurs via une passerelle ou plateforme communicante et sont réceptionnées sur des serveurs de traitement de données. Les données montantes permettent de répondre aux différents besoins de l’exploitation du véhicule : les kilomètres parcourus, l’autonomie, les temps d’arrêts, etc… Toutes ces données remontent via le réseau internet pour alimenter le serveur d’exploitation.

Les données descendantes, correction des paramètres de configuration, mises à jour d’un logiciel, intégration d’un correctif, etc… servent alors pour la maintenance du véhicule par exemple, et sont souvent réalisées grâce à une valise diagnostic pour entrer dans le système. Dans ce cas, il existe 2 portes d’entrées : la prise OBD « On Board Diagnostic » standard ou bien sur le boîtier communicant.

Avec 2 entrées physiques et 1 entrée virtuelle pour accéder aux données du véhicule, on comprend que la mise en place de sécurités informatiques est cruciale pour éviter tout piratage.

0 %
des sociétés de transport en commun ont mis en place une stratégie de cybersécurité
Source : Mineta Transportation Institute (MTI)
0 %
des cyberattaques en 2021 concernaient le secteur des transports
Source : Rapport IBM Security X-Force Threat Intelligence Index 2022)
cybersecurite
Quels sont les risques d'un piratage de véhicule ?

Une cyberattaque sur un véhicule de transport urbain peut facilement être comparée à une prise d’otage, ou pire à un attentat, si les hackers ont de mauvaises intentions. Les hackers prendraient ainsi le contrôle partiel ou total du véhicule et de ses passagers, et pourraient bloquer l’ouverture des portes avec toutes les conséquences dramatiques que cela engendrerait avec un effet de panique. C’est bien sûr le cas extrême, mais qui suscite le plus de craintes de la part des exploitants et des pouvoirs publics.

D’autres risques, moins tragiques mais tout aussi dangereux, sont également à prendre en considération. Les pirates informatiques auraient la capacité d’entrer dans le serveur du réseau de transport via un véhicule sur lequel ils se seraient connectés, et pourraient stopper tout le réseau de transport, causant une panique générale. Enfin, les pirates peuvent tout simplement entrer dans le système du véhicule pour envoyer de fausses informations et par exemple, voler le véhicule alors qu’il apparaît toujours sur le réseau de l’exploitant.

Tous ces risques font l’objet de surveillances extrêmes de la part des constructeurs qui mettent en place de nombreux systèmes de sécurité pour garantir la fiabilité de leurs produits et pour répondre aux exigences réglementaires (voir plus bas).

Comment les lois ont-elles intégré ces risques ?

Dans le contexte de l’harmonisation des règlements concernant les véhicules (WP.29 de la CEE-ONU), deux nouvelles lois ont été mises en place, couvrant ces sujets clés : La cybersécurité (R155) et la mise à jour du logiciel (R156).

La réglementation R155 est un ensemble d’exigences liées à la cybersécurité. L’objectif de cette réglementation est la prise en considération des risques, depuis la conception du véhicule, en passant par son exploitation, jusqu’à son démantèlement. Ces risques concernent aussi bien la partie embarquée (pénétration dans les échanges de communication internes du bus) que la partie « fixe » (notamment l’interception des remontées de données depuis le bus, ou l’attaque directe des serveurs de stockage de données). Les mesures qui sont et seront mises en place feront l’objet d’un audit externe par un organisme d’Etat reconnu (UTAC, Bureau Veritas…) afin de garantir une conformité du bus par rapport aux exigences relatives à la cybersécurité. Cette réglementation est obligatoire depuis le 6 juillet 2022 et en juillet 2024, tous les nouveaux véhicules immatriculés devront être certifiés.

La réglementation R156 oblige les constructeurs de bus à démontrer leur conformité aux nouvelles exigences relatives à la mise à jour à distance des composants logiciels embarqués. Les constructeurs doivent démontrer la prise en compte des risques cybersécurité liés à cette mise à jour.

Ces nouvelles règles, imposées par la loi pour toute nouvelle homologation de véhicule, ont également un impact sur les fournisseurs et les autres acteurs de la chaîne d’approvisionnement. En effet, tout composant informatique, mise à jour logicielle, etc. devant être déployée par un constructeur sur un véhicule, que sa source soit interne ou externe vis-à-vis de l’entreprise nécessite un ensemble d’activités spécifiques en fonction de leur impact sur les systèmes homologués du véhicule.

Comment SAFRA gère la cybersécurité sur ses véhicules ?

La protection des données est un sujet très sensible et au centre de toutes les attentions des équipes SAFRA, et ce quel que soit le service. Nous avons pris en compte la cybersécurité sur nos programmes Hycity (autobus hydrogène) et H2-pack (kits de rétrofit hydrogène pour autocars interurbains) dès le début, et nous avons pour consigne d’éviter tout comportement qui pourrait présenter un risque. Cette rigueur interne est demandée de la même manière à nos fournisseurs, en mettant en place des niveaux de protections élevés.

cyber-security-public-transport-vehicles
Cet article vous a plu, n'hésitez pas à le partager sur les réseaux sociaux
Facebook
Twitter
LinkedIn
Email
Print
D'autres articles susceptibles de vous plaire