Nouvelles localesPolitique

Conseils de mise à jour de la NHTSA pour les voitures connectées et la cybersécurité


Malgré son objectif officiel de «sauver des vies, prévenir les blessures et réduire les accidents liés aux véhicules», la National Highway Traffic Safety Administration (NHTSA) a réorienté une partie de son attention vers la connectivité automobile ces dernières années. En fait, l’agence a récemment mis à jour ses directives sur la cybersécurité des véhicules, rédigées à l’origine en 2016.

Bien que cela soulève des questions sur le véritable rôle de la NHTSA, la plupart des régulateurs gouvernementaux ont déployé leurs muscles à mesure que les nouvelles technologies automobiles sans directives clairement définies se généralisent. De plus, l’agence de sécurité a au moins réussi à lier ses directives de cybersécurité (qui sont actuellement volontaires) aux problèmes de piratage qui pourraient affecter le comportement de la voiture concernée et comment cela pourrait se traduire par des dommages physiques aux personnes. sur la route.

« Alors que la technologie et la connectivité des véhicules se développent, la cybersécurité doit être une priorité absolue pour chaque constructeur automobile, développeur et opérateur », a déclaré l’administrateur de la NHTSA, Steven Cliff, qui quittera bientôt l’agence pour rejoindre le California Air Resources Board (CARB) en tant que nouvel exécutif. officier. « La NHTSA s’est engagée à assurer la sécurité des véhicules sur les routes de notre pays et ces meilleures pratiques mises à jour fourniront à l’industrie des outils importants pour protéger les Américains contre les risques de cybersécurité. »

Selon l’agence, Cybersecurity Best Practices 2022 s’appuie sur ses propres recherches préexistantes, les normes volontaires de l’industrie et les leçons tirées de la recherche sur la cybersécurité des véhicules à moteur au cours des dernières années. Bien que la base des directives découle d’un projet antérieur, introduit en 2016, et d’une demande de commentaires publics publiée dans les tout derniers jours de l’administration Trump.

Alors que la version précédente est un peu plus détaillée, l’édition 2022 ajoute quelques éléments et souligne davantage la volonté de la NHTSA de voir davantage d’entreprises rejoindre le Automotive Information Sharing and Analysis Center (Auto ISAC) qui est devenu opérationnel en 2016. Si vous n’êtes pas familier , Auto ISAC est une coalition commerciale  » axée sur l’industrie « . (par exemple, les constructeurs automobiles mondiaux, les fournisseurs et les entreprises technologiques) qui partagent des données sur les véhicules en supposant qu’elles seront utilisées pour aider à atténuer les cyberattaques. Les critiques ont accusé le groupe d’être un peu plus qu’un effort de lobbying conçu pour aider à guider les efforts de réglementation du gouvernement en matière de voitures connectées. Mais les partisans pensent qu’avoir un groupe entièrement dédié à l’identification et à la prévention des menaces de piratage est finalement bénéfique.

Quoi qu’il en soit, les deux versions du rapport d’orientation appellent les entreprises à établir une « culture préparée et capable de gérer les défis croissants de la cybersécurité ». Cela signifie dépenser plus d’argent pour tester les systèmes connectés pour détecter les vulnérabilités existantes, mieux communiquer les vulnérabilités potentielles entre les entreprises ou le gouvernement (idéalement, via Auto ISAC) et nommer des cadres supérieurs supervisant un département entier qui serait directement responsable de la cybersécurité des produits en mettant l’accent sur le top- gestion vers le bas. Le 2022 développe simplement ces demandes, ajoutant que les entreprises devraient également « développer des mesures pour évaluer périodiquement l’efficacité de leur processus de réponse ».

Ces dernières directives suggèrent également que « tout incident doit également être signalé à l’équipe de préparation aux urgences informatiques CISA/US (US-CERT) conformément aux directives fédérales de déclaration des incidents de l’US-CERT. Le partage d’informations est en fait une partie importante des deux rapports, la NHTSA citant le décret 13691 – une directive de l’ère Obama qui « encourage le développement et la formation d’organisations de partage et d’analyse d’informations ». informations spécifiques à l’industrie et appelle les entreprises privées, les organisations à but non lucratif, les départements exécutifs, les agences et autres entités à « partager les informations relatives aux risques et incidents de cybersécurité et à collaborer aussi près que possible du temps réel ».

Bien qu’il ne se limite pas aux automobiles, l’EO 13691 est un problème clé pour la NHTSA et sous-tend essentiellement sa demande que tout le monde rejoigne Auto ISAC pour des raisons de sécurité nationale. Cependant, personne ne semble avoir expliqué pourquoi une coalition mondiale de constructeurs automobiles prendrait la peine de protéger spécifiquement les États-Unis lorsque leurs produits sont vendus dans le monde entier.

Le reste des meilleures pratiques de cybersécurité 2022 de la NHTSA vise à dire à l’industrie qu’il pourrait être judicieux d’établir une sorte de système de signalement et de réponse lorsque des problèmes de cybersécurité surviennent. Pour l’instant, l’agence est assez peu spécifique au-delà de l’approbation Auto ISAC. Mais il semble vouloir que le processus qui en résulte imite ses propres protocoles pour les rappels de sécurité des véhicules – même si la NHTSA semble préférer auditer l’industrie elle-même pour les violations de données et les vulnérabilités potentielles. de piratage.

Certains termes ont également été modifiés concernant les produits de rechange et qui devraient être autorisés à accéder au micrologiciel et/ou au code logiciel d’un véhicule. Dans la version précédente, la NHTSA suggère à l’industrie d’examiner les appareils du marché secondaire et la manière dont ils « pourraient avoir un impact sur la sécurité de la vie », même si l’appareil n’a rien à voir avec cela. Sécurité. Dans la version la plus récente, l’agence fait référence aux « appareils du marché secondaire/appartenant à l’utilisateur », demande aux entreprises du marché secondaire de prendre également en compte les risques de sécurité et recommande que tous les appareils tiers « soient authentifiés et bénéficient d’un accès limité approprié ».

Cela a été développé dans la section sur la limitation de l’accès général via le port de débogage d’une voiture, la console série ou un port IP ouvert sur le réseau Wi-Fi du véhicule. Idéalement, la NHTSA aimerait limiter les personnes pouvant accéder à l’ECU en limitant l’accès au niveau du développeur en minimisant les fonctionnalités de diagnostic et en permettant aux fabricants de mieux contrôler le matériel concerné ou le comportement d’un véhicule après modification. à la fin. Il a également déclaré que « le simple fait d’obscurcir physiquement les connecteurs, les traces ou les broches destinés à l’accès au débogage des développeurs ne devrait pas être considéré comme une forme de protection suffisante ».

De quoi agacer sans doute le mouvement du droit à la réparation qui gagne enfin du terrain aux Etats-Unis. Cependant, la NHTSA a curieusement retenu la demande du rapport de 2016 de garantir que les véhicules restent utilisables en s’assurant que les protections numériques « ne restreignent pas indûment l’accès par d’autres services de réparation tiers autorisés par le propriétaire du véhicule ». Cependant, le langage est adouci en suggérant que trouver le bon équilibre sera difficile.

Mon opinion est que la NHTSA est devenue trop préoccupée par la façon dont ces systèmes sont réglementés et a complètement ignoré la possibilité que leur existence même puisse poser un risque de sécurité inutile. Par exemple, l’immortelle Toyota Corolla VE 2000 que je garde comme véhicule de secours peut ne pas m’offrir d’itinéraires détaillés ou me permettre de payer l’essence sans jamais mettre la main dans ma poche. Mais cela ne m’expose pas non plus au vol d’identité, à la collecte de données du fabricant ou au piratage de véhicules, car il n’est pas capable d’être connecté à Internet. Bien que le gouvernement ignore délibérément ce fait n’est pas un problème nouveau. J’ai vu des législateurs afficher à plusieurs reprises leur manque de connaissances sur le sujet pendant des années, le résultat final étant souvent qu’ils s’en remettent aux experts (souvent des lobbyistes de l’industrie) tout en échouant collectivement à s’attaquer aux aspects les plus élémentaires de la technologie moderne.

Bien que la NHTSA soit probablement beaucoup plus informée que votre sénateur moyen, les technologies des voitures connectées progressent à un rythme difficile à suivre pour quiconque. Cela devient évident à la lecture du rapport, car la plupart des inclusions consistent essentiellement pour l’agence à demander à l’industrie de se réglementer en collaboration sans trop épuiser le client ou les ateliers de réparation tiers. Mais il ne semble pas du tout intéressé à prendre à partie les industriels lorsque les technologies connectées créent des vulnérabilités.

On pourrait faire valoir que cela relève en dernier ressort de la Federal Communications Commission (FCC). Cependant, la Commission des communications a été assez indifférente lorsqu’il s’agit de réglementer le secteur automobile. La FCC a seulement vraiment exprimé son intérêt à déterminer quelles parties de la bande de communication, tandis que le ministère des Transports (DOT) et la NHTSA ont en fait proposé de faire de véhicule à véhicule et des communications une exigence légale. dans toutes les nouvelles voitures en 2017. Bien que cela ne se soit pas produit, cela a montré la position générale des régulateurs américains sur la question de la connectivité des véhicules.

[Image: Virrage Images]


zimonews Fr2En2Fr

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.

Cammile Bussière

One of the most important things for me as a press writer is the technical news that changes our world day by day, so I write in this area of technology across many sites and I am.
Bouton retour en haut de la page