Amokrane Ahmed

Dans cet article, nous présentons la réglementation de l’UNECE WP.29 qui ambitionne, en s’appuyant sur des standards de cybersécurité existants et d’autres à venir, de traiter le sujet de la cybersécurité dans l’écosystème automobile et tout au long du cycle de vie des véhicules. Cette réglementation porte sur les exigences organisationnelles et techniques de cybersécurité couvrant les véhicules, les moyens de production et la Supply Chain. Nous présentons également les impacts de la réglementation pour les acteurs du secteur automobile et du monde de la cybersécurité.

Près de trois quarts des sanctions prononcées par la Commission Nationale de l’Informatique et des Libertés (CNIL) ont parmi leurs causes des vulnérabilités techniques de sécurité. À partir de ce constat, et au prisme de notre expérience à la fois en cybersécurité technique et en protection des données à caractère personnel, nous avons analysé les sanctions de la CNIL publiées sur le site https://www.legifrance.gouv.fr/. Nous avons notamment établi une correspondance avec les catégories de vulnérabilités techniques identifiées dans la nomenclature du top 10 de l'OWASP 2017 (Open Web Application Security Project). Nous avons également étudié les fuites de données majeures survenues en Europe et dans le monde. Il en ressort que les vulnérabilités les plus communes sont liées à l’authentification, au contrôle d’accès et à la protection des données au repos et en transit.

Le protocole CAN (Controller Area Network) est très utilisé dans de nombreux domaines tels que l'automobile, l’aéronautique, le spatial, le maritime et les systèmes industriels. C'est un protocole de communication simple et robuste. Du fait de l’interconnexion croissante des réseaux CAN avec le monde IP et l'Internet, comme les voitures connectées et l'Internet des objets, ces réseaux deviennent accessibles dans certains cas à travers des passerelles depuis le monde IP. Dans cet article, nous présentons le protocole CAN et les différents standards au-dessus, ainsi que des outils et astuces pour le pentest des environnements CAN.

Le pentest de matériels qui a pour objectif la récupération/modification d'informations sensibles via des accès physiques, est sans doute un aspect crucial dans le monde de l'IoT. Dans cet article, nous présentons des outils logiciels et matériels et leur utilisation à travers des cas pratiques pour dumper le contenu de circuits mémoire (EEPROM, flash) et rechercher des informations sensibles qu'ils contiennent, ainsi que la détection et l'exploitation de ports série (JTAG, UART).