Contenu Premium

Que de chemin parcouru depuis le « fardier à vapeur » de Nicolas-Joseph Cugnot en 1769, le premier moteur à combustion conçu en 1807 par François Isaac de Rivaz, ou encore l'essor industriel du 19ᵉ siècle porté par des pionniers comme les frères Renault, Louis et Armand Peugeot en France ! Ces véhicules, autrefois principalement mécaniques, sont aujourd'hui dotés de systèmes électroniques complexes qui, s'ils offrent confort et fonctionnalités avancées, attirent également l'attention des experts en cybersécurité – mais aussi, malheureusement, celle de véritables attaquants capables de porter préjudice tant à l'image d'une marque qu'à la sécurité personnelle des conducteurs.

La législation impose aux constructeurs automobiles certaines exigences de sécurité, ce qui se démontre en partie avec des tests d’intrusions. L’énumération de la surface d’attaque est un préalable à ces tests, c’est pour cette raison que cet article propose de décrire un protocole applicatif spécifique à l’automobile, SOME/IP (pour Scalable service-Oriented MiddlewarE over IP), et l’énumération des services ainsi offerts. Ce scanner maison est basé sur Scapy et sera publié [1], afin de permettre plus facilement, nous l’espérons, l’évaluation de la surface d’attaque liée à ce protocole.

De l’obtention du firmware à l’exploitation de deux vulnérabilités dans la pile Bluetooth du chargeur Autel MaxiCharger, récit d’une participation à Pwn2Own Automotive 2024.

Les CSIRT territoriaux sont plusieurs au sein du pays et ont une mission de cybersécurité de proximité : consolider le niveau de résilience cyber et venir en aide aux victimes d’attaques informatiques en leur fournissant un accompagnement complet. Gros plan sur la détection, la coordination et l’accompagnement d’incidents cyber en Île-de-France avec Achille Lerpiniere, DSI du Pôle Transformation Numérique de la région.

Un an après le premier hors-série que j'ai piloté pour un HS Radio, je reviens vers vous avec ce nouveau millésime consacré à l'automobile.

Que de bouleversements en seulement douze mois ! Cette période m'a permis d'explorer encore de nouveaux défis entrepreneuriaux, riches en enseignements qu'aucun manuel ne saurait transmettre – matière à réflexion pour un futur ouvrage sur les aléas de l'entrepreneuriat…

Selon le dernier rapport de l’ENISA [ENISA_2024], une adoption généralisée du DevSecOps contribue à limiter l’impact économique des violations de données grâce à l’intégration de mesures de réduction des risques dès la conception. Pour être efficace, cette approche doit s’adapter au contexte métier et aux menaces spécifiques identifiées. Ainsi, comment l’analyse de risques et le DevSecOps s’articulent-ils pour sécuriser les produits ?

Le règlement européen DORA étant entré en vigueur le 17 janvier 2025, de nombreuses entreprises sont d’ores et déjà contraintes d’être conformes aux attentes du règlement dans le secteur de la finance et de l’assurance. Ainsi, si ces activités étaient déjà bien suivies en termes de conformité par les autorités telles que l’AMF (Autorité des Marchés Financiers) ou l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) qui délivrent les accréditations pour pouvoir travailler sur ces marchés et s’assurent du reporting obligatoire des entreprises, c’est aujourd’hui une quasi-découverte de la réalité du monde de la cybersécurité, a minima pour toutes les PME qui la composent, ainsi que pour leurs prestataires tiers. Avec une obligation de déclaration de la liste de leurs prestataires au mois d’avril 2025 et de déclaration des incidents majeurs auprès de chaque autorité référente depuis fin janvier c’est le branle-bas de combat pour de nombreux acteurs du métier. Jusqu’à présent, les responsables de conformité et les bureauticiens étaient les seuls en mesure d’accompagner ces métiers peu connus, mais il leur faut aujourd’hui de véritables professionnels de la cyber pour détricoter les attentes du règlement.

« Peut-on facilement sécuriser ses connexions RDP avec une authentification forte ? ». La réponse est oui ! Et en plus, c’est simple et ne demande pas beaucoup de ressources.