Normes et tests de menace pour des véhicules autonomes sûrs

Les véhicules modernes continuent de se déplacer à travers les niveaux d’autonomie définis par la Society of Automotive Engineers (SAE). Ces définitions ont été largement adoptées dans l’industrie et les technologies automobiles émergentes sont mesurées par rapport à cette échelle (Figure 1).

Fig. 1 : Une illustration de la Society for Automotive Engineers montre les degrés d’autonomie.

À mesure que nous nous rapprochons de l’autonomie complète de niveau 5, nous transférons davantage de tâches de conduite et de contrôle à la technologie avancée du système d’assistance à la conduite (ADAS) du véhicule. L’électronique doit répondre à certaines normes, notamment :

  • Contiennent des composants de haute qualité et sans défaut et resteront sans défaut pendant de nombreuses années
  • Fonctionnement en toute sécurité
  • Travail selon la fonction recherchée
  • Soyez en sécurité et protégez-vous des attaques de cybersécurité

Afin de s’assurer que tous les systèmes du véhicule respectent au moins un niveau minimum au regard de ces exigences, plusieurs normes ont vu le jour ces dernières années. La figure 2 montre les différents types d’erreurs couverts par les différentes normes. La norme de sécurité fonctionnelle automobile ISO 26262 couvre les défauts des circuits intégrés qui sont soit présents à la fabrication, soit manifestes pendant le cycle de vie du véhicule. La norme ISO 21448 se concentre davantage sur l’exactitude opérationnelle car elle examine la fonction de l’appareil au sein du système pour s’assurer qu’il fonctionne comme prévu. La norme ISO 21434 guide la gestion des risques de cybersécurité tout au long du cycle de vie du silicium.

Fig. 2 : Trois normes centrales guident le développement des véhicules autonomes.

Contrairement au paysage des risques de sécurité fonctionnels, qui est essentiellement statique pour une fonction donnée, le paysage des menaces de sécurité est très dynamique – la nature et la complexité des attaques de cybersécurité changent tout au long du cycle de vie du véhicule. Étant donné que l’électronique utilisée date de plusieurs années au moment où la plupart des véhicules arrivent sur le marché, les dispositifs de sécurité intégrés au système aujourd’hui peuvent être obsolètes avant que le véhicule n’entre en production. C’est la raison impérieuse de développer une technologie de sécurité qui est également très dynamique et adaptable aux menaces futures.

La cybersécurité de l’électronique automobile s’appuie sur la spécification ISO/SAE 21434 “Véhicules routiers – Ingénierie de la cybersécurité” publiée en août 2021 et recommande l’utilisation d’une méthodologie telle que STRIDE, développée par Praerit Garg et Loren Kohnfelder chez Microsoft, et/ou “enquête sur l’utilisation abusive”.

Au cœur d’une méthodologie de cybersécurité IC se trouve la modélisation des menaces. Il existe plusieurs solutions standard de modélisation des menaces, mais généralement, les utilisateurs doivent faire le travail réel pour s’engager pleinement et s’en tenir à une solution particulière. Certaines de ces solutions sont ancrées dans la méthodologie et le cadre STRIDE, tandis que d’autres s’appuient sur des bases de données propriétaires sur les menaces et les actifs et sur des formats de langage de description structurés (mais non standard).

La réalité est que la modélisation des menaces est difficile. Il peut être utilisé comme outil d’aide à la conception, aidant les équipes de conception à réfléchir plus clairement aux types de problèmes auxquels elles pourraient être confrontées. Cependant, sans expérience pratique de la façon dont les systèmes sont attaqués au niveau technique, cela peut être beaucoup trop abstrait. Il est essentiel que les équipes impliquées dans ce travail comprennent vraiment l’environnement de la menace et soient capables d’évaluer raisonnablement et sans passion des scénarios spécifiques. En effet, une menace ou un risque surestimé peut faire monter en flèche les coûts de développement. À l’inverse, la sous-évaluation privera de fonds et de ressources techniques un domaine qui nécessite une attention urgente. Le résultat global est le fameux “fenêtre de la cuisine ouverte, porte d’entrée verrouillée trois fois”.

D’autres outils de modélisation des menaces peuvent être utiles pour modéliser d’autres aspects d’une attaque, tels que le coût pour un attaquant d’emprunter une route particulière. Les arbres d’attaque offrent cette capacité et peuvent être utiles lorsqu’ils sont modulaires et peuvent être combinés dans une sorte de puzzle pour donner des informations très utiles (Figure 3). La meilleure façon de travailler sur les arbres d’attaque est d’inclure dans l’équipe des personnes qui comprennent vraiment la situation sur le terrain, à la fois en termes de technologie et de comment la résoudre sur le terrain.

Fig. 3 : Les étapes du processus STRIDE pour la cybersécurité automobile.

La modélisation des menaces ne doit pas être statique : elle ne doit pas être obsolète. Tout le monde doit commencer quelque part, et le temps investi dans la modélisation initiale des menaces est susceptible de porter ses fruits au fil du temps tant qu’il est maintenu et respecté par les équipes de développement. Il est peu probable qu’il y ait un modèle de menace à l’échelle de l’industrie, mais les OEM individuels auront des modèles très similaires, tout comme leurs fournisseurs. Les développements futurs conduiront probablement à une automatisation plus poussée, mais cette discipline restera celle de la pensée critique.

Les véhicules connectés et autonomes (CAV) sont constitués de plusieurs ordinateurs en réseau. Ces ECU (unités de contrôle électronique) permettent un large éventail de fonctions et de fonctionnalités dans le véhicule, de la traction et du contrôle du groupe motopropulseur à la connectivité, aux capteurs et aux modules de carrosserie. Les calculateurs sont interconnectés via des réseaux embarqués, comprenant généralement un bus de données connu sous le nom de Controller Area Network (CAN). Les véhicules modernes sont donc un exemple de système cyber-physique (CPS).

L’augmentation des capacités de calcul et de connectivité des ECU a entraîné de nouveaux défis en matière de cybersécurité qui peuvent potentiellement compromettre la sécurité d’une voiture et de ses occupants. Des tests efficaces de cybersécurité des véhicules peuvent jouer un rôle essentiel dans la découverte et la correction des vulnérabilités de sécurité. Cependant, tester un véhicule réel (y compris des composants cyber-physiques) comporte lui-même des risques en matière de sécurité et d’économie. Par conséquent, les chercheurs et les praticiens s’appuient souvent sur des environnements de test (communément appelés bancs d’essai) pour découvrir les vulnérabilités de la cybersécurité. Des tests de sécurité efficaces et efficients nécessitent l’utilisation de méthodes de test appropriées et systématiques.

Le consortium Secure CAV, parrainé par Innovate UK, a développé un banc d’essai à plusieurs composants qui représente une architecture de véhicule flexible et fonctionnelle pour des essais en conditions réelles afin de former, tester, valider et démontrer des solutions de cybersécurité automobile. Ce démonstrateur vise à reproduire le plus précisément et fidèlement possible le comportement d’un véhicule réel (fidélité) tout en étant reconfigurable, portable, sûr et peu coûteux à construire. Le banc d’essai fournit aux chercheurs et ingénieurs en cybersécurité une évaluation complète de la sécurité des composants du réseau embarqué et fournit :

  • Intégration de Siemens IP dans une implémentation FPGA pour la surveillance du comportement du calculateur
  • Prise en charge de l’architecture multi-composants et d’une gamme de protocoles de communication embarqués (dont CAN et Automotive Ethernet)
  • Une configuration “plug and play” pour les ECU clients (qui peuvent être des unités télématiques, des capteurs, des systèmes d’infodivertissement, une connectivité en cabine et des modules de carrosserie)
  • Un simulateur de scénario de trafic pour générer des données de capteur et une connectivité pour prendre en charge les cas d’utilisation de menaces en cours de démonstration
  • Configurabilité pour les scripts de test reproductibles et une interface pour l’injection et le traçage de paquets pour prendre en charge les vecteurs d’attaque
  • Un référentiel de données pour les données acquises à partir de capteurs émulés, de simulateurs de véhicules, de charge utile Ethernet CAN/Automotive, de FPGA et d’ECU attachés pour la visualisation, l’étalonnage des tests et l’apprentissage automatique. Le référentiel peut être dans le cloud pour une analyse à distance ou sur un stockage local.

La figure 4 montre le banc d’essai de cybersécurité automobile de Secure-CAV. Il comprend un simulateur de voiture, un simulateur de réseau embarqué, un système FPGA (Field Programmable Gate Array), un réseau physique, un stockage de données et le tableau de bord d’une vraie voiture. La majeure partie de l’architecture du véhicule et du réseau de bus CAN est réalisée dans un environnement virtuel à l’aide du simulateur de réseau Vector CANoe.

Fig. 4 : Schéma de l’architecture du démonstrateur.

Le logiciel de détection d’adresses IP et d’anomalies du véhicule de démonstration Secure CAV surveille les journaux et les transactions au niveau le plus bas du matériel. Ceci est soutenu par des algorithmes d’apprentissage automatique non supervisés et une analyse statistique avec la contribution d’experts de l’Université de Southampton. Celui-ci a été intégré à la technologie FPGA et connecté à deux démonstrateurs de véhicules développés par des équipes de l’Université de Coventry et les spécialistes de la cybersécurité Copper Horse. Un ensemble sélectionné de menaces réelles a été exercé, y compris l’achat et l’analyse d’équipements de piratage sur les véhicules existants.

La longue durée de vie des automobiles nécessite une approche innovante de la cybersécurité. De nombreux fournisseurs et équipementiers travaillent constamment sur des solutions pour détecter et se défendre contre les attaques nouvelles et à venir. La modélisation et les tests des menaces peuvent être difficiles car ils doivent souvent être effectués au niveau du système plutôt qu’au niveau des composants.

Le projet Secure-CAV dispose d’une technologie de sécurité matérielle éprouvée qui permettra à l’industrie automobile de garder une longueur d’avance sur les menaces d’aujourd’hui et les menaces encore inconnues à l’avenir, plaçant l’industrie dans une position de cybersécurité beaucoup plus durable qu’elle ne l’est actuellement. .

Pour garantir en outre que les technologies de détection et d’atténuation de la cybersécurité sont entièrement testées dans toutes les conditions et scénarios, les développeurs peuvent utiliser la plate-forme Siemens PAVE 360, qui peut modéliser et émuler des véhicules complets, pour passer du démonstrateur physique de Secure-CAV à une commutation de domaine entièrement numérique. systèmes dans un environnement numérique. Un jumeau numérique complet du système électronique peut être créé, permettant l’application d’un ensemble extrêmement complet de données du monde réel. Avec ces données du monde réel, il est possible d’exposer le système du véhicule à des millions de kilomètres parcourus dans différentes conditions. Cette approche signifie qu’un environnement de jumeau numérique avec un modèle haute fidélité produit des résultats qui correspondent à ceux qui seraient vus sur la piste, et le modèle numérique permet d’explorer des scénarios d’application de cas extrêmes plus facilement qu’il n’est possible dans le monde physique. .

Alors que nous nous efforçons d’atteindre une autonomie totale de niveau 5, la façon dont les systèmes automobiles sont conçus et certifiés au sein de la chaîne d’approvisionnement va changer. L’introduction des derniers outils et technologies garantit que les nouveaux systèmes électroniques automobiles sont sécurisés contre les cyber-attaquants actuels et futurs. Sans technologie d’analyse intégrée avancée, les circuits intégrés automobiles restent une boîte noire qui rend difficile la détermination de l’état général du système du véhicule, ce qui réduit la fiabilité globale du véhicule.

oigari