Le fournisseur de services de sécurité axé sur la recherche, IOActive, a mené une analyse des tendances en matière de vulnérabilité des voitures au cours de la dernière décennie et a déterminé que l’industrie automobile accordait une importance croissante à la cybersécurité.
La nouvelle étude IOActive sur la cybersécurité automobile (PDF) examine les vulnérabilités découvertes au cours des 10 dernières années, en mettant l’accent sur les tendances entre 2016, 2018 et 2022.
La société a classé et regroupé les vulnérabilités en fonction de leur impact potentiel dans le monde réel, de leur probabilité d’exploitation et de leur risque global, ce niveau de risque étant calculé en fonction de l’impact et de la probabilité.
En termes d’impact, le pourcentage de vulnérabilités automobiles avec une note critique est passé de 25 % du total en 2016, à 10 % en 2018 et 12 % en 2022. Les défauts à fort impact ont progressivement diminué de 25 % à 21 % entre 2016. et l’année dernière.
Cependant, au cours des 10 dernières années, le pourcentage de problèmes critiques a diminué de 13 % et celui des problèmes à fort impact de 4 %.
En termes de probabilité d’exploitation, les vulnérabilités critiques sont passées de 7 % du total en 2016 à 1 % en 2022. Les problèmes à forte probabilité sont tombés à 16 % en 2022, contre 21 % en 2016. Selon IOActive, cela suggère que les vulnérabilités sont de plus en plus difficiles à exploiter ou « les vecteurs permettant de découvrir des vulnérabilités sont de moins en moins éloignés ».
« Dans le langage de la cybersécurité, il y a moins de « fruits à portée de main », ce qui indique qu’entre 2018 et 2022, l’industrie automobile a appris de ses erreurs initiales et construit mieux », a déclaré la société de cybersécurité.
Dans l’ensemble, le pourcentage de vulnérabilités critiques et à forte probabilité a diminué respectivement de 6 % et 5 % au cours des 10 dernières années.
En ce qui concerne le risque global, le pourcentage de vulnérabilités à haut risque a augmenté de 3 % et celui des problèmes à risque moyen de 25 % au cours des 10 dernières années, mais les faiblesses à risque critique ont diminué de 17 % au cours de la même période.
La note « risque critique » est attribuée aux problèmes qui peuvent être exploités à distance et sont faciles à découvrir, avec un impact incluant une compromission complète d’un composant ou des problèmes de sécurité. Les failles à haut risque sont celles qui peuvent être exploitées à proximité ou nécessitent des compétences limitées, et leur impact inclut le contrôle partiel des composants, la divulgation d’informations sensibles ou un problème de sécurité potentiel.
Quant aux vecteurs d’attaque, les attaques matérielles physiques sont passées de 28 % en 2016 à 10 % en 2022, mais les vecteurs d’attaque locaux et en réseau ont augmenté. IOActive a également constaté une augmentation légère mais importante – de 0 % à 1 % – des attaques par radiofréquence, en particulier les accès sans clé à distance et les attaques Bluetooth.
IOActive a attribué les tendances positives au fait que l’industrie automobile a intégré la cybersécurité dès les premières étapes du processus de développement, ainsi qu’à ses efforts pour réduire les vecteurs d’attaque les plus probables et à son niveau de maturité amélioré dans le déploiement de pratiques de cybersécurité.
D’un autre côté, IOActive a également soulevé certaines préoccupations potentielles. L’une d’entre elles est que même si les vulnérabilités critiques sont moins courantes, les acteurs de la menace pourraient se tourner vers l’enchaînement de plusieurs failles moins graves – telles que les problèmes à risque moyen, qui ont considérablement augmenté – pour atteindre leurs objectifs, plutôt que de s’appuyer sur une seule faiblesse critique.
En rapport: Plus d’un million de dollars offerts lors du nouveau concours de piratage automobile Pwn2Own
En rapport: Les menaces à la sécurité automobile sont plus critiques que jamais
En rapport: La filiale américaine du fabricant de tuyaux automobiles Nichirin touchée par un ransomware
