Sécuriser l'industrie automobile avec PKI et la gestion des identités

Les véhicules deviennent de plus en plus complexes et connectés. Les nouveaux véhicules peuvent contenir jusqu'à 300 millions de lignes de code et plus de 150 unités de contrôle électronique (UCE) qui communiquent intelligemment avec les systèmes à l'intérieur du véhicule. Ils peuvent ensuite communiquer avec des systèmes extérieurs, qui peuvent inclure des systèmes de véhicule à véhicule (V2V), de véhicule à réseau (V2G), de véhicule à infrastructure (V2I), et plus encore, créant ainsi un écosystème V2X en constante expansion. Nous ne pouvons plus considérer un véhicule comme une simple machine qui nous déplace d'un point A à un point B. Nous devons les considérer comme les dispositifs intelligents et interconnectés qu'ils sont. - un appareil IoT qui est un réseau d'autres appareils IoT .

La sécurité des véhicules est un défi en constante évolution. Tous les composants du véhicule doivent être sécurisés. Les communications générales avec la voiture, comme les mises à jour du micrologiciel et de software ou l'"infodivertissement", doivent être sécurisées. Les futures connexions V2V doivent être sécurisées. Pour garantir la sécurité, chaque dispositif a besoin d'une identité, et chaque identité doit être gérée.

Nous avons vu qu'une sécurité insuffisante peut avoir des effets catastrophiques. En 2015, des pirates informatiques ont réussi à prendre le contrôle d'une Jeep alors qu'elle se trouvait sur une autoroute. Récemment, les compagnies d'assurance ont cessé de couvrir certains modèles Kia et Hyundai car ils sont trop faciles à voler.

Ce blog examine certains défis et principes de solution spécifiques à l'industrie automobile.

Les véhicules sont constitués de nombreux calculateurs et composants connectés, dont la majorité n'est pas fabriquée par le constructeur automobile mais par un fournisseur de niveau 1. Les constructeurs automobiles doivent en effet disposer de procédures de sécurité pour gérer les identités qu'ils n'ont pas créées, ou d'une infrastructure pour créer les identités et les rendre accessibles à de multiples fournisseurs de niveau 1.

Avec chaque sous-système intelligent ajouté, la surface d'attaque pour les acteurs malveillants augmente. Le fait de savoir que les systèmes sont connectés à l'intérieur du véhicule offre de multiples voies d'accès aux systèmes critiques tels que le moteur, la direction assistée ou les freins. Une vulnérabilité dans un système connecté peut être répercutée sur d'autres systèmes. Cela nécessite une relation étroite et de confiance entre le constructeur automobile et ses fournisseurs de niveau 1 et, à leur tour, leurs fournisseurs.

Réseaux. Appareils. Infrastructure. Grille. Autres véhicules. Le nombre de "choses" auxquelles un véhicule peut se connecter ne cesse de croître. Comme pour les mises à jour OTA, chaque connexion offre à un acteur malveillant la possibilité d'intercepter, de lire et de modifier les données et les commandes partagées au sein de l'écosystème.

Les normes seront un élément clé pour aller de l'avant, mais elles peuvent parfois être en retard sur le développement de la technologie. En outre, les fabricants opérant à l'échelle internationale doivent adhérer à des normes concurrentes. Par exemple, aux États-Unis, les fabricants doivent se préparer à la norme IEEE 1609.2, tandis qu'en Europe, le C-ITS aura des exigences différentes, tandis que les deux doivent se préparer à la norme CEE-ONU 155/156. Cela signifie que tout système de sécurité mis en œuvre aujourd'hui doit être suffisamment souple et évolutif pour faire face à l'incertitude de l'avenir.

Quelles que soient les précautions prises par les développeurs et les procédures d'assurance qualité mises en place, software et les microprogrammes doivent être mis à jour et entretenus. Dans le cas des véhicules, cela peut se faire en connectant physiquement le véhicule chez un concessionnaire agréé ou par le biais de mises à jour OTA, tout comme la mise à jour du site software sur un téléphone. En théorie, il s'agit d'une tâche simple : le véhicule se connecte au réseau ou à l'appareil du fabricant chez le concessionnaire, se connecte, recherche la mise à jour, puis l'applique.

Cependant, comment le véhicule peut-il savoir que la mise à jour est légitime et non malveillante ? Qu'il soit injecté par le biais d'une connexion à distance détournée ou d'une mise à jour physique directe, un nouveau code peut être introduit dans le véhicule, permettant la prise de contrôle à distance, la violation de données, voire un éventuel ransomware. Software et les mises à jour de microprogrammes doivent avoir les moyens de prouver qu'elles proviennent d'une source légitime avant d'être installées.

La meilleure façon de se préparer à l'incertitude de de demain de demain et des nouvelles technologies est de mettre en œuvre un système flexible et évolutif dès aujourd'hui. Cela commence au niveau du code.

La mise en œuvre d'une signature de code appropriée est fondamentale pour sécuriser les mises à jour et peut constituer la dernière ligne de défense contre une attaque malveillante.

En cas de communication non autorisée, de connexion à distance ou physique, des contrôles de signature de code appropriés ajoutent une couche de sécurité. Désormais, le mauvais acteur doit non seulement avoir accès à la communication, mais aussi disposer d'un certificat de signature de la part des développeurs de software/firmware. Un système correctement conçu rejetterait le site software et déclencherait des notifications d'alerte en cas d'envoi de code non signé.

L'utilisation d'une solution de signature de code et la protection adéquate de ses certificats de signature rendent l'insertion de code malveillant beaucoup plus difficile pour un acteur malveillant.

La caractéristique d'une communication sécurisée est que chaque appareil possède une identité fiable et vérifiable. Cette identité se présente le plus souvent sous la forme d'un certificat signé. Avec un certificat PKI, les fabricants peuvent délivrer des identités au au calculateur de communication primaire et, en partenariat avec leurs fournisseurs de niveau 1, à tous les calculateurs du véhicule. du véhicule.

Dans le cas improbable d'une violation d'un certificat racine, aestion automatisée du cycle de vie des certificats est impérative. Cela peut permettre l'abrogation en bloc des tainés et la gestion du cycle de vie des l'identification l'identification des appareils qui ne sont ne sont peut-être pas en ligne mais qui devront être traités lors de la prochaine communication.

Que ce soit vous soyez un équipementier automobile ou un fournisseur de niveau 1, vous avez besoin d'une solution de bout en bout qui protège l'ensemble de votre écosystème. protège l'ensemble de votre écosystème. Keyfactor EJBCA, Keyfactor Command pour IoTet Keyfactor SignServer rend cela possible avec une plateforme d'identité IoT de bout en bout pour signer software/firmware, et gérer et automatiser les identités pour les appareils, de la fabrication à la fin de vie..