Le fournisseur de logiciels CDK Global compte presque tous les 15 000 concessionnaires automobiles américains parmi ses clients. A la mi-juin, l'entreprise a été victime d'une cyberattaque de type ransomware et a dû éteindre tous ses systèmes. Cela a eu des conséquences massives.
Des milliers de concessionnaires automobiles à travers les Etats-Unis ont été largement paralysés pendant des heures. Apparemment, CDK n'a pas trouvé d'autre solution que de payer une rançon d'environ 25 millions de dollars aux hackers, comme l'a rapporté CNN.
L'affaire montre une nouvelle fois à quel point l'industrie automobile est vulnérable aux cyberattaques. Les acteurs du domaine en ont de plus en plus conscience. Ainsi, la cybersécurité est devenue une priorité absolue pour les constructeurs automobiles.
Selon un rapport du spécialiste de l'automatisation Rockwell Automation, les entreprises considèrent le risque de cyberattaques comme «le plus grand obstacle externe à la croissance d'une entreprise». Les réponses proviennent de 182 dirigeants de constructeurs automobiles, de fournisseurs et de véhicules électriques de 15 pays.
Deux aspects sautent aux yeux:
Qu'est-ce qui rend la cybersécurité dans l'industrie automobile si complexe? Pour répondre à cette question, «tout le cycle de vie du produit, du développement à la production en passant par l'utilisation, doit être pris en compte», écrit le Center of Automotive Management (CAM) dans une étude. Selon l'institut de recherche allemand, cela signifie: contrôler toute la chaîne d'approvisionnement et la durée de vie relativement longue des voitures. Cela et la diversité des modèles compliquent «considérablement» les efforts de cybersécurité.
Les experts identifient «une grande faiblesse» dans les chaînes d'approvisionnement complexes: ces attaques ont une «forte probabilité de survenue» et sont souvent associées à des «dommages considérables». Parmi les domaines particulièrement vulnérables figure l'infrastructure de recharge pour véhicules électriques.
L'infrastructure est soumise à une forte pression en raison de la multiplication rapide des voitures électriques, selon les experts. Une couverture aussi large que possible par les stations de recharge doit être assurée le plus rapidement possible. Le problème: souvent, la mise en œuvre de la cybersécurité est «secondaire ou pas du tout traitée», note l'institut de recherche.
En même temps, l'infrastructure de recharge n'est pas un système unifié. Elle est composée de pièces gérées par différents prestataires. Cela en fait «une cible facile pour les attaques», qui «ne deviennent pas plus fréquentes uniquement parce que le potentiel de dommage est limité».
Mais il y a tout de même des risques. Les criminels qui pénètrent dans une borne de recharge peuvent facilement accéder aux données de paiement de différents utilisateurs. Ils pourraient alors contrôler les serveurs back-end et d'autres stations de recharge - «dans le pire des cas, même la régulation de la charge du réseau électrique régional», comme le précise l'étude.
Les voitures elles-mêmes sont désormais des ordinateurs roulants. La connectivité croissante rend les véhicules plus vulnérables aux attaques. Les principaux risques incluent le vol de données et le piratage à distance, où les criminels accèdent à la voiture à distance - par exemple, au contrôle ou aux freins, comme l'a expliqué Ivan Reedman de la société de sécurité informatique IOActive dans une interview.
De nouvelles technologies comme les «mises à jour over-the-air», qui permettent aux constructeurs automobiles de mettre à jour les logiciels à distance, apportent des solutions, mais offrent aussi de nouvelles surfaces d'attaque.
Les autorités de régulation ont pris conscience du problème. Dans l'UE, une nouvelle réglementation sur la cybersécurité et les mises à jour logicielles des véhicules connectés est entrée en vigueur en juillet. Les constructeurs doivent désormais prouver, pour toutes les nouvelles voitures fabriquées - même les anciens modèles - qu'un système de gestion certifié pour la prévention des cyberattaques a été mis en place dès le développement des véhicules, et ce, tout au long de la chaîne d'approvisionnement.
Cela coûte plusieurs millions d'euros par modèle, estime Stefan Bratzel du CAM - et cela ne vaut souvent plus la peine. Plusieurs véhicules ont déjà été abandonnés en raison de la nouvelle réglementation. VW a supprimé la petite voiture Up et le transporteur T6.1. Porsche ne produira plus que pour l'exportation les versions à moteur thermique des Macan, Boxster et Cayman, et Audi, Renault et Smart laissent également tomber les anciens modèles.