Selon une étude réalisée par Deloitte, seul un tiers des automobilistes verrait un avantage dans l’interconnexion croissante entre autos. Aux Etats-Unis, les chiffres ne sont pas aussi mauvais, mais, là aussi, la majorité des automobilistes se montre de plus en plus critique vis-à-vis de la connectivité croissante des automobiles. S’il n’existe pas de chiffres exacts pour la Suisse, on peut cependant supposer que la situation y est similaire.
En fait, en Suisse, ce sont surtout les pirates informatiques qui sont craints. La Revue Automobile s’est entretenue avec Jörg Zimmer, vice-president des ventes EMEA (Europe Middle East & Africa) de Blackberry QNX en Europe, en lui demandant notamment de quels dangers s’accompagnaient la numérisation croissante de nos véhicules. Et si le risque d’attaques de pirates informatiques était réellement présent.
Le système d’exploitation QNX de Blackberry a été conçu pour les systèmes embarqués, comme ceux qu’on retrouve sur les voitures. Zimmer est donc parfaitement conscient des risques induits par la numérisation et la connectivité en matière automobile. Pour l’expert, il n’y a pas d’ambiguïté: la sécurité d’un système face aux attaques de hackers est étroitement liée à sa sécurité structurelle. Il estime que les constructeurs devront être tenus, durant les années, voire les décennies, qui suivent la livraison de l’auto, de continuer à mettre à jour leurs véhicules. Effectivement, ce n’est que si la «functional safety» est garantie que la «security» est garantie. «Des mises à jour régulières des logiciels seront donc indispensables. En plus d’être prescrites par la loi», assène avec conviction Jörg Zimmer.
REVUE Automobile: Quelle est l’importance des mises à jour régulières sur nos véhicules?
Jörg Zimmer: Si votre téléphone a un dysfonctionnement, cela vous rendra peut-être furieux, mais jamais cela ne vous coûtera la vie. Or, c’est possible avec les véhicules. Les véhicules sont dotés de systèmes très complexes. Et si quelqu’un arrive à les pirater, en prenant par exemple le contrôle de la direction ou des freins parce que leur logiciel embarqué est obsolète, alors l’industrie va se retrouver face à un vrai problème. Certains piratages ont fait la une des journaux, comme celui de Jeep. Et on en a eu la preuve: dès lors qu’un logiciel devient de plus en plus complexe et de plus en plus envahissant, on se doit de le mettre régulièrement à jour afin de le protéger.
Cela veut-il dire qu’il faut à l’avenir s’attendre à des mises à jour obligatoires, sous peine de voir sa voiture devenir faillible?
Des mises à jour de logiciels seront certainement nécessaires. Il s’agit d’une contrainte dont l’industrie automobile doit tenir compte au stade de la conception du véhicule et qu’elle doit garantir durant toute la durée de vie de l’auto. Sur le papier, cela paraît simple, mais dans la pratique, il faut mettre beaucoup de choses en place pour que cela fonctionne correctement. Reprenons la comparaison avec notre téléphone portable: s’il a trois ans et que la marque décide d’arrêter de mettre à jour le portable, le client n’a pas d’autre alternative que de ravaler sa colère et de s’acheter un nouveau téléphone. Une auto a un cycle de vie bien supérieur, de dix ans, voire davantage dans certains cas. Les constructeurs sont contraints de trouver une solution pour garantir le suivi du véhicule, et surtout, le financer.
Les constructeurs sont-ils prêts à proposer un suivi de leurs produits aussi longtemps, même 20 ans après la fin de la commercialisation?
Je pense que les constructeurs en sont bien conscients. Bien évidemment, c’est une question très importante, qui devrait modifier le travail des constructeurs. Par le passé, le constructeur pouvait simplement se contenter de construire la voiture. Bien sûr, il y avait aussi la question des pièces de rechange. Mais, à l’avenir, tout sera différent, puisque les constructeurs devront prendre en charge le support de leurs produits durant les années qui suivent sa mise en service. C’est pourquoi je me demande si le modèle d’affaire actuel, qui voit les clients acheter leur propre véhicule, a encore de l’avenir. Le nombre de véhicules pris en leasing ne cesse d’augmenter. Un modèle auquel s’ajoute également celui de l’abonnement. En dernier ressort se pose la question de savoir ce que le client est prêt à accepter. Souhaitera-t-il un contrat de services portant sur tout le cycle de vie de son véhicule? A terme, tout cela pourrait être exigé par le législateur.
De qui le législateur peut-il exiger cela? Du constructeur, comme une espèce de garantie, ou bien du client, qui devra «casquer»?
Les deux sont possibles. Je n’ai aucun mal à imaginer que le législateur tienne les constructeurs responsables des mises à jour pendant un certain temps. Et, à l’expiration d’un délai déterminé, qu’il transfère cette responsabilité au client. Mais le constructeur doit naturellement continuer de proposer les services ad hoc. On peut imaginer que le législateur exige un examen périodique sur la fiabilité du véhicule. Ce ne serait pas forcément très compliqué à mettre en oeuvre, les voitures étant déjà contraintes de passer un contrôle technique; à l’instar du contrôle sur le bon fonctionnement des freins, les inspecteurs pourraient également vérifier l’actualité des logiciels ayant une incidence sur la sécurité.
Le défi est-il plutôt d’assurer la fiabilité face aux défaillances ou de faire face à une attaque de pirates informatiques?
Avec le temps, la frontière entre les notions de «safety» et «security» est devenue difficile à percevoir. Si un système n’est pas «secure» (ndlr: sécurisé), alors il n’est pas «safe» (ndlr: sûr) non plus, car on peut utiliser ses failles pour l’attaquer. A partir de là, tout est possible: si un pirate hacke les véhicules d’une marque en coupant tous les moteurs, cela constituerait un gros préjudice d’image pour un constructeur. Et si cela se passe au mauvais moment, cela peut aussi causer des accidents. Tout comme si quelqu’un apporte des modifications aux freins ou à la direction, tout simplement pour faire parler de lui ou déclencher une crise.
Et contre qui de telles attaques se dérouleraient-elles?
Pour moi, le risque n’est pas tant d’avoir peur que mon voisin pirate ma voiture sous prétexte qu’il a un problème avec moi. Je pense que le danger est plutôt que quelqu’un discerne une faille dans un système d’un constructeur donné et lui demande une rançon, comme cela est déjà le cas actuellement avec les organisations criminelles qui installent un malware dans un système et ne le suppriment qu’après paiement d’une somme. Nous mettons tout en œuvre pour protéger nos clients contre de telles attaques. Mais il faut bien réfléchir aux endroits qui doivent être renforcés, car les coûts peuvent être énormes.
Comment jugez-vous le risque de telles attaques de pirates informatiques?
Selon moi, le risque est réel. Quant à savoir quand, comment et où elles se produiront, nous ne le savons pas. Mais, quand je lis dans la presse ce qu’il s’est passé, au cours des semaines et des mois écoulés, au sujet d’attaques d’hôpitaux en Allemagne ou d’institutions gouvernementales aux Etats-Unis, je pense que cela représente un risque bien réel pour les constructeurs automobiles. A mon sens, la question est plutôt de savoir quand on atteint une masse critique justifiant l’investissement d’une telle attaque. Si l’on étudie les fameux hackings contre Jeep ou Tesla, on constate que ces attaques ont été méticuleusement préparées, puisque non seulement les hackers possédaient les connaissances techniques, mais ils avaient également accédé physiquement aux voitures. Tout cela n’a rien de banal. Les voitures étant toujours plus technologiques et connectées, il faudra faire très attention aux dispositifs de commande à distance. S’il est une chose dont je suis absolument certain, c’est qu’à l’avenir, les voitures seront une cible de choix. On constatera alors qui s’est le mieux protégé et qui a le moins de failles dans son système. A mon avis, ce sont plutôt les équipementiers qui sont dans une situation critique et qui doivent se confronter à cette éventualité.
Les équipementiers sont-ils conscients de la menace qui plane sur eux?
Je pense bien qu’ils en sont conscients. Mais la question est complexe et il faut prendre beaucoup de choses en considération. Cela débute lors du développement, quand il faut coder certaines choses, et se poursuit au stade de la fabrication, où l’on doit être sûr que se trouvent sur les boîtiers électroniques uniquement les composants qui doivent être là. Et oui, on devra aussi résoudre certaines choses par le biais de mises à jour de logiciels à mesure que l’on gagne en expérience.
Le risque va-t-il augmenter en fonction de la propagation des fonctions de conduite autonome? Y aura-t-il, à l’avenir, davantage de failles qu’aujourd’hui?
Oui et non. Il n’y aura pas plus de failles, car ce sont surtout les interfaces vers l’extérieur qui sont concernées, or elles ne changeront pas de manière prononcée et les mécanismes de protection resteront similaires. Mais la conduite autonome sous-entend surtout des logiciels plus nombreux et plus complexes, ainsi qu’un plus grand nombre de capteurs et d’actuateurs. On sait que ce sont les fonctions de conduite autonome qui posent les exigences les plus sévères en matière de fiabilité. Il faut donc garantir que l’on ne puisse pas les pirater. Naturellement, les répercussions sont tout à fait différentes en fonction du niveau de conduite autonome. Imaginons-nous un instant que le système déterminé d’un constructeur lambda est piraté et que la destination programmée est effacée au profit d’une nouvelle adresse. Par exemple Zurich. Cela créerait un incroyable chaos. Je me permets donc de le répéter: les véhicules autonomes seront une cible nettement plus attrayantes pour les hackers.
Les failles que pourraient exploiter les hackers
Émetteur: Sur une auto, la télécommande est l’objet le plus vulnérable. Capter son signal avant de déverrouiller et démarrer la voiture est relativement aisé pour un hacker accompli. Mais la sécurité des émetteurs a fait un important bond en avant ces dernières années, depuis que les constructeurs se sont penchés sur la question.
Apps: Aujourd’hui, tous les constructeurs proposent une application de smartphone capable de télécommander la voiture. D’ailleurs, les exploitants de flottes sont nombreux à les utiliser pour surveiller «leurs» véhicules. Elles constituent surtout un risque important, puisqu’ells sont généralement insuffisamment protégées.
Infrastructure/serveurs: La vulnérabilité du serveur du constructeur ou des exploitants de flottes est un risque majeur. Non seulement elle permet aux hackers de voler les données des clients comme les coordonnées de cartes de crédit, mais elle leur permet aussi d’infecter les véhicules avec un malware avant d’en prendre le contrôle.