«Les piratages de voitures seront aussi répandus que les ransomwares»

Paul Such est non seulement le fondateur d'un partenaire de sécurité d'Abraxas, mais aussi un pionnier de renommée internationale du piratage automobile. Il explique quels sont les risques de sécurité qui lient les automobilistes et les clients d'Abraxas et comment fonctionne son Security Operations Center. Et pourquoi sa société Hacknowledge ne fait pas de publicité qui joue sur la peur de la vulnérabilité du jour zéro ni sur l’assistance 24h/24, 7j/7.

De Marcel Gamma, Samuel Näf et Florian Brunner · 4 octobre 2021

Paul Such, fan de voitures, hacker éthique et cofondateur de la société de sécurité Hacknowledge, n'a pas le droit de toucher à la voiture de sa femme. Sa confession fait rire ce Romand nerveux. La raison de l'interdiction: lors d'un acte pionnier, Paul Such a piraté sa propre voiture particulière, ce qui lui a valu une invitation à faire une présentation à la DEFCON, l'un des plus grands événements de hackers au monde.

Dans la vidéo, il explique pourquoi seul le moteur de la voiture de Paul Such fonctionnait encore après son piratage.

Paul Such n'a pas reçu de félicitations chez lui, car il a fallu trois mois au constructeur automobile pour réparer la voiture qui n'était plus utilisable. «Et même après ça, ni le système audio, ni le chauffage, ni les phares ne fonctionnaient. C'était juste un moteur monté sur des roues!» Il rit à nouveau, alors que cette anecdote insupporte toujours son épouse.

L’Abraxas-SOC-as a Service: Abraxas a évalué la société de sécurité informatique romande Hacknowledge comme un partenaire optimal et peut désormais offrir à ses clients un service complet de surveillance, d'analyse et de gestion de leur sécurité informatique auprès d'un seul fournisseur. Avec le service Abraxas SOC, la suissitude, une philosophie d'entreprise convaincante, une technologie de capteurs sophistiquée et des analystes de sécurité qualifiés protègent contre les cyberattaques réussies.

Le piratage a paralysé la voiture
Paul Such s'était attaqué au système multimédia de son VW Touareg par pure curiosité et, à partir de là, avait fait une incursion au cœur du logiciel. Jusqu'à ce que sa voiture tombe en panne. D'autres hackers éthiques, également poussés par la curiosité et le plaisir de la sécurité informatique, ont trouvé d'autres points d'attaque pour manipuler ou prendre complètement le contrôle de voitures allant de la Jeep Cherokee jusqu’à différents modèles Tesla. Il y a quelques semaines, des personnes pensant de la même manière que le Romand ont réussi à prendre le contrôle d'une Tesla avec un drone et un dongle WiFi.

De nombreuses petites failles entraînent de gros problèmes
Chaque automobiliste, mais aussi chaque commune ou autorité peut en tirer des enseignements. Les voitures d'aujourd'hui sont des ordinateurs sur roues qui sont connectés à l'Internet via wifi et Bluetooth, ce qui permet donc également de les attaquer à distance. Les possibilités d'attaque sont innombrables, car une voiture est basée sur un code de programmation de 100 à 200 millions de lignes qui a été écrit par différents fournisseurs. «Il y a beaucoup plus de lignes de code dans une voiture que dans Windows ou dans un avion de chasse F-35», explique Paul Such. «Et personne ne peut contrôler la totalité de la chaîne d'approvisionnement en logiciels et en matériel et l'ensemble de la base de code».

Les hackers éthiques trouvent encore dans les logiciels automobiles des erreurs de programmation bien connues et embarrassantes, ainsi que des mots de passe qui sont programmés de manière fixe et qui ne sont pas modifiables, comme dans le cas du piratage Tesla susmentionné. Mais le principal problème réside dans les petites faiblesses non problématiques des différents fabricants qui s'additionnent. «Depuis 20 ans, j'ai souvent constaté lors de tests d’intrusion que, dans les réseaux informatiques normaux, de petites failles combinées entraînent un gros problème», nous explique Paul Such lors d'une visite dans son entreprise Hacknowledge.

«Je sais que ma voiture pourrait être piratée. Mais …» Paul Such

Penser à la sécurité dès le départ
L'industrie automobile, effrayée par Paul Such et ses collègues, prend désormais la sécurité informatique au sérieux. Néanmoins, elle ne pourra pas empêcher complètement les piratages criminels, bien au contraire. Paul Such en est convaincu: «Un jour, le piratage des voitures sera aussi répandu que les ransomwares le sont aujourd'hui».

Cet expert en sécurité expérimenté en conclut que la sécurité devrait être prise en compte dès le début dans chaque projet informatique. Mais même dans ce cas, une sécurité à 100 % n'est pas possible, alors que la meilleure sécurité possible l’est tout à fait.

Paul Such lave sa voiture (Photo : Florian Brunner)
Nous ne vendons pas un produit magique, mais nous aidons les clients à résoudre des problèmes qu'ils rencontrent réellement Paul Such

Le SOC comme solution
Et c'est là que sa société Hacknowledge, partenaire d'Abraxas, entre en jeu. Dans un bâtiment discret situé dans une zone commerciale discrète près de Morges, des experts en sécurité expérimentés travaillent au sein du Security Operations Centre (SOC) pour prévenir au mieux les piratages informatiques et pour améliorer la sécurité des clients d'Abraxas grâce à leurs services d'analyse, de surveillance et de conseil.

«Nous offrons un service de surveillance qui contribue à réduire le temps entre l'intrusion et la détection de celle-ci, dans le but de stopper les menaces informatiques», affirme Paul Such. Et une réaction rapide serait en fait primordiale, mais selon des études, il faut au moins 100 jours en moyenne pour qu'une attaque soit détectée par une entreprise ou une commune. Les experts de Hacknowledge et le système Security Information and Event Management (SIEM), qu'ils ont développé eux-mêmes, n'ont besoin que de quelques heures pour cela, promet la société.

Paul Such et son partenaire commercial depuis 21 ans ont mis toute leur expérience dans l'offre et la philosophie de leur entreprise. Bien entendu, cela inclut la certification ISO 27001 qui est en place depuis des années, et qui est également exigée et détenue par Abraxas.

Security Swiss made
«Nous sommes une société suisse qui appartient à moi-même, à mon partenaire de longue date et à un tiers», explique Paul Such. Il sait que cette transparence est importante en Suisse depuis l'affaire du Crypto Group «Suisse» et de Crypto AG. L’entreprise Hacknowledge est également présente au Luxembourg, mais son marché principal est la Suisse, précise-t-il. «Tous nos collaborateurs pour les clients suisses vivent en Suisse et nous avons développé le SIEM spécifiquement pour les besoins des petites et moyennes organisations gouvernementales et entreprises en Suisse», déclare Paul Such. Ce point est essentiel, car les problèmes de sécurité en Suisse diffèrent en partie de ceux aux États-Unis ou en Allemagne.

Pas de produits magiques …
Un autre élément central de la philosophie de l'entreprise est le fait que Hacknowledge ne vende pas de produits. Paul Such justifie cela en termes clairs. «L'argent et des fournisseurs sans scrupules ont corrompu le secteur de la sécurité», nous dit-il. «Tous les six mois, un produit magique est lancé qui est censé tout régler. Mais c'est impossible! Pourquoi alors les produits magiques ne détectent-ils un problème qu'après 100 jours?» Maintenant, Paul Such ne rit plus, mais argumente avec conviction: «Nous ne vendons pas de produits magiques ni des rêves concernant une sécurité à 100 %. Nous aidons un client à résoudre les problèmes qu'il rencontre réellement. Si nécessaire, nous recommandons un produit, mais souvent, le client n'a besoin de rien de nouveau!»

... mais des cas d'utilisation concrets
Hacknowledge se distingue également des différents fournisseurs de sécurité et vendeurs de produits par sa manière de travailler. Les experts ne recherchent pas d'éventuels hackers dans des téraoctets de fichiers journaux. «Ça ne marche pas! Car si on ne sait pas ce qu'on cherche, on ne pourra pas le trouver.»

Au lieu de cela, on utilise des cas d'utilisation. «Nous discutons avec les clients de ce que nous devons trouver et de ce que nous allons trouver. Il peut s'agir d'un ordinateur se connectant depuis un pays étranger, d'un nouveau compte administrateur et d'autres anomalies.» Grâce aux cas d'utilisation, les systèmes et les experts de Hacknowledge savent ce qu'ils doivent rechercher. Mais même de supposées banalités qui constituent malgré tout des portes d'entrée fréquentes pour les hackers – patchs manquants – sont systématiquement contrôlées dans le SOC.

En plus d'autres capteurs, les «pots de miel» et les «canaris» font depuis longtemps partie des mécanismes de sécurité simples mais efficaces. Il s'agit de proposer aux hackers des cibles fictives à l’aspect attrayant et de fausses portes; s'ils mordent à l'hameçon, le SIEM et les collaborateurs le remarquent et les isolent immédiatement.

De l'éponge et de la mousse - au lieu d'ordinateurs et de scripts (Photo : Florian Brunner)
Si vous ne voulez pas gaspiller de l'argent dans un SOC, deux conditions doivent être remplies Paul Such

Du pragmatisme et non des formules toutes faites
Au lieu de vendre des produits «nextgen 3.0 innovants» et des formules toutes faites, le partenaire d'Abraxas offre la suissitude, l'expérience, les connaissances pratiques et le pragmatisme. Par conséquent, le marketing ne mise pas non plus sur la crainte des tristement célèbres vulnérabilités du jour zéro (failles inconnues du fabricant) ou sur le service 24h24, 7j/7 tant réclamé. «Souvent, les problèmes de sécurité résultent d'un patch manquant ou d'une erreur de configuration. Les attaques zero day sont rares dans la vie réelle des clients de Hacknowledge et il devient coûteux de les couvrir», nous explique Paul Such. Cela vaut également pour les offices ou les communes de petite et moyenne taille.

Même si ça sonne bien de proposer un service 24h/24, 7j/7, il s’avère souvent inutile et constitue un gaspillage d'argent. Huit heures par jour, cinq jours par semaine, c’est optimal si personne chez le client ne peut de toute façon gérer les alertes 24 heures sur 24. «Un temps de réaction de quelques heures est quand même beaucoup plus rapide que 100 jours!»

Quand un SOC est-il vraiment utile?
De quoi les clients potentiels ont-ils besoin pour qu'un SOC as a Service d'Abraxas-Hacknowledge ait véritablement un sens? Ici aussi, la réponse de Paul Such est surprenante. «Si vous ne voulez pas gaspiller de l'argent dans un SOC, deux conditions doivent être remplies. Premièrement, le soutien de la direction est impératif et deuxièmement, le client doit employer un responsable de la sécurité informatique.»

Il n'y aura alors pas de sécurité à 100 %, car les gens font des erreurs et la chaîne d'approvisionnement complexe des logiciels et du matériel ne peut pas être contrôlée. «Nous n'offrons pas de rêves», répète Paul Such, mais la peur ne doit pas non plus être le moteur. Il conduit donc toujours une voiture et ne se déplace pas seulement à vélo. «Je sais que ma voiture pourrait être piratée. Mais les avantages sont beaucoup plus importants que les risques.»

Lire aussi

0 / 0