La cybersécurité automobile est essentielle et représente un souci de plus en plus important pour les équipementiers automobiles dans le cadre du passage des véhicules routiers à une autonomie partielle, explique Ludovic Rota, directeur marketing produits chez Onsemi. Des contrôles doivent être implémentés pour que personne à part le conducteur (ou le système de pilotage qui le remplace dans des situations spécifiques et restreintes) ne puisse prendre le contrôle du véhicule.
En 2021, le groupe de travail de la Commission économique des Nations Unies pour l’Europe (Unece) a publié l’UN-R155, un règlement pour le système de gestion de la cybersécurité (CSMS) à destination des constructeurs automobile afin de traiter ces risques croissants. Ce règlement est juridiquement contraignant pour la réception/homologation de nouveaux types de véhicules fabriqués dans les pays membres de l’Unece depuis juillet 2022. Cela implique que les équipementiers automobile doivent se conformer à la norme ISO/SAE 21434 pour s’assurer de la conformité de leurs produits en matière de cybersécurité. Bien entendu, fournir de pièces conformes en matière de cybersécurité n’est pas une garantie qu’un constructeur automobile les employant sera en conformité avec le règlement de l’Unece. Il s’agit toutefois d’un pas important dans cette direction le mettant en meilleure position d'atteindre cet objectif.
Les capteurs d’images doivent être sécurisés
Les endroits dans un véhicule où la cybersécurité doit être implémentée sont rapidement trouvés - à commencer par les passerelles d'interconnexion aux systèmes d’infodivertissement ou d'autres sous-systèmes du véhicule communiquant via un réseau. Ce qui pourrait être moins évident, c'est pourquoi la cybersécurité devrait également s'appliquer aux capteurs d’images, développe Ludovic Rota.
Vu l’accent mis de nos jours sur la sécurité et l’aide à la conduite, les capteurs d’images sont les « yeux » du véhicule. Ils sont utilisés dans plusieurs fonctions des systèmes d’aide à la conduite, tels que les avertissements de changement de voie, la détection de piétons et le freinage automatique d’urgence (AEB). Ils évaluent l’environnement du véhicule et fournissent des données au système de fusion des capteurs pour la prise de décisions. À l’avenir, ils serviront à identifier et à authentifier les utilisateurs de véhicules ainsi qu’à surveiller leurs signes vitaux. L’ordinateur de bord pourrait alors prendre le contrôle du véhicule si le conducteur venait à avoir un malaise. Dans de telles situations, les capteurs d’images d’un véhicule doivent fonctionner dans des conditions exceptionnelles (plage dynamique élevée, capacité de fonctionner par un faible éclairage, détection des nuances de couleurs, etc.) et rester fonctionnels, en particulier dans les situations extrêmes auxquelles un véhicule peut être exposé.
Étant donné que les véhicules dépendront de plus en plus des capteurs d’images pour un fonctionnement en toute sécurité, leur ordinateur central aura besoin de pièces authentiques pour interagir avec eux. Il devra également garantir qu’aucune image transmise n’a été compromise et qu’elles ont toutes été générées par un capteur d’images authentique. Enfin, le capteur d’images ne doit accepter que les modifications de la configuration du capteur faites par le système du véhicule, à l’exclusion de tout tiers. Les cas d’application suivants démontrent pourquoi l’industrie automobile ne peut ignorer les menaces que représente l’emploi de capteurs d’images de contrefaçon, qui sont vulnérables à l’usurpation par des tiers.
1ère menace : le capteur d’images est remplacé par une pièce de contrefaçon
Le système AEB se fie au capteur d’images derrière le pare-brise pour détecter des objets ou des piétons en face du véhicule. Il peut décider d’actionner les freins si le conducteur ne répond pas immédiatement pour éviter une collision. Un système AEB travaille sur la base de l’hypothèse que son capteur d’images présente des caractéristiques spécifiques (p. ex. une plage dynamique élevée, une capacité de fonctionner par un faible éclairage, etc.) et le système est étalonné sur ces spécifications. Si une pièce autre que celle d’origine, ou une contrefaçon, remplace le capteur d’images d’origine, ceci risquerait de compromettre la performance du système. Même si le capteur d’image utilise ressemble à l’identique à l’original, sa performance et ses caractéristiques peuvent en diverger de manière importante. Étant donné que le système AEB a été optimisé pour le capteur d’images d’origine, les nouvelles caractéristiques de la pièce de rechange vont altérer la performance du système. Cela signifie que le système n’est éventuellement pas en mesure de détecter des objets ou des piétons en face du véhicule, à moins que ceux-ci se trouvent à une distance de quelques mètres seulement - ne laissant plus de temps de réaction adéquat au système pour réagir, avec des conséquences potentiellement tragiques. Le remplacement d’un capteur d’images d’origine par une contrefaçon revient à demander à un conducteur malvoyant de conduire sans lunettes.
2è menace : La configuration du capteur d’images est modifiée
Le système d’aide à la conduite du véhicule est étalonné et programmé pour configurer le capteur d’images de manière optimale afin que le rendu d'image représente toujours le plus fidèlement possible la situation en face du véhicule. Si toutefois quelqu’un (ou quelque chose) change la configuration du capteur d’images, la performance de celui-ci est compromise. Par conséquent, il y a des risques qu’il ne soit plus possible de garantir que le système du véhicule perçoive les personnes et les objets en face du véhicule correctement, intégralement ou de manière optimale - l’équivalent électronique de jeter de la poussière dans les yeux d’un conducteur humain.
3è menace : Le capteur d’images est contourné
Le capteur d’images fournit les données vidéos brutes au processeur d’images qui les utilise pour en extraire les informations critiques concernant les obstacles avoisinants, de sorte que le véhicule puisse réagir en conséquence. Le processeur d’images peut par exemple détecter un véhicule qui s’approche et décider soit de freiner, soit de modifier la direction le véhicule pour éviter l’obstacle, en fonction de l’action la plus sûre. Or, si un tiers non autorisé tente de manipuler le système en modifiant ou en contournant le capteur d’images, le processeur d’images ne reçoit plus de données vidéos brutes reflétant la réalité devant le véhicule. Dans un tel cas de figure, le système risque de ne plus être en mesure de détecter l’objet qui s’approche. En lieu et place, il se peut que l’élément de traitement des images reçoive uniquement des images en boucle d’une route dégagée sans obstacles, allant potentiellement de pair avec les mêmes conséquences inacceptables que celles qui sont observables si un être humain détourne totalement son regard de la route.
Des capteurs d’images conformes à la cybersécurité
Onsemi a commencé à implémenter les fonctionnalités de la cybersécurité dans ses capteurs d’images en 2018, avant même la sortie de la norme de cybersécurité ISO 21434. Initialement, l’implémentation a été motivée par des demandes de clients précurseurs. Par la suite, ces demandes lui ont permis de construire son expertise en cybersécurité. Ainsi, les capteurs d’images Onsemi sont déjà prêts pour la cybersécurité. L’une de leurs fonctionnalités clés est l'authentification qui leur permet de prouver à un hôte leur authenticité. Cette authenticité est garantie par l’utilisation d’une chaine de certificats spécifiques et des clés partagées au préalable. Une autre fonctionnalité essentielle est celle leur permettant de garantir l’intégrité des données vidéos, prouvant qu’un flux de données vidéos n’a pas été manipulé entre le capteur et le système. Cette intégrité est vérifiée grâce à un code d’authentification de messages (MAC). Pour finir, le contrôle du capteur et les données de configuration sont protégés des manipulations à l’aide de registres de clés spécifiques qui utilisent des MAC inclus dans les données vidéos.
Les composants sécurisés, premier pas vers des véhicules sécurisés
La conformité à la cybersécurité est indispensable pour les capteurs d’images d’un véhicule si l'on veut éviter qu’ils ne se transforment en chevaux de Troie de leurs systèmes électroniques complexes. Pour les constructeurs automobiles, la conformité à la cybersécurité ne s’arrête pas aux circuits de contrôle des capteurs d’images. Ils sont essentiels pour permettre aux systèmes d'aide à la conduite et de surveillance de l’habitacle d’atteindre les objectifs réglementaires de conformité en matière de cybersécurité.