Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonS'opposant à la loi sur les réparations, la NHTSA soutient la sécurité par l'obscurité
La « sécurité par l’obscurité » – l’idée selon laquelle garder secret le fonctionnement de la technologie est un moyen de la protéger contre les attaques – a été abandonnée depuis longtemps par les professionnels de la cybersécurité et par le secteur plus large de la sécurité de l’information. Comme l’histoire nous l’a montré : le secret n’est pas la même chose que la sécurité et ne résiste pas bien aux adversaires intelligents, ingénieux et déterminés.
Ne le dites pas à la National Highway Traffic Safety Administration (NHTSA), qui s'est prononcée fermement en faveur du concept dans une lettre adressée à 22 constructeurs automobiles la semaine dernière. La lettre, datée du 13 juin, visait une loi du Massachusetts qui permet aux propriétaires de véhicules de contrôler et d'accéder aux données télématiques de leur voiture. La NHTSA a déclaré que la loi pourrait faciliter les cyberattaques et "permet la manipulation des systèmes d'un véhicule, y compris des fonctions critiques pour la sécurité telles que la direction, l'accélération ou le freinage". Il a ensuite déclaré aux constructeurs automobiles que les cyber-risques télématiques constituaient un risque pour la sécurité des véhicules et allaient à l'encontre de la loi nationale sur la sécurité de la circulation et des véhicules automobiles (Loi sur la sécurité), une loi datant du milieu des années 1960, et leur ordonnait pratiquement de conserver la télématique de leurs véhicules. systèmes fermés.
"Compte tenu des risques sérieux pour la sécurité posés par la loi sur l'accès aux données, prendre des mesures pour ouvrir l'accès à distance aux unités télématiques des véhicules conformément à cette loi, qui exige des voies de communication vers les systèmes de contrôle des véhicules, serait en contradiction avec vos obligations en vertu de la loi sur la sécurité", NHTSA a écrit.
Mais en soutenant la sécurité des constructeurs automobiles dans l'obscurité, la NHTSA a négligé à la fois ses propres meilleures pratiques en matière de cybersécurité et des rapports récents suggérant que les systèmes télématiques des constructeurs automobiles regorgent de failles de sécurité et de vulnérabilités exploitables.
La loi du Massachusetts sur le droit à la réparation des véhicules télématiques est rédigée pour permettre aux propriétaires de véhicules de réparer plus facilement et moins cher leurs voitures en favorisant la concurrence sur le marché de la réparation automobile. Il y a trois ans, les mesures électorales ont donné naissance à une campagne rancunière de plusieurs mois au cours de laquelle les constructeurs automobiles ont diffusé des millions de dollars de publicité télévisée avertissant les habitants du Massachusetts, sans preuve, que l'accès aux informations sur la réparation des véhicules donnerait aux criminels et aux harceleurs l'accès à leurs maisons et à leurs véhicules. Les tactiques alarmistes de l’industrie n’ont pas fonctionné : la mesure électorale a été adoptée avec plus des trois quarts des électeurs en faveur en novembre 2020.
Mais ce n'était pas la fin. Son adoption a donné lieu à un procès le même mois par un groupe de pression de l'industrie automobile. Cette poursuite, Alliance for Automotive Innovation contre Campbell, traîne dans la salle d'audience du juge fédéral Douglas Woodlock depuis plus de deux ans, sans qu'une décision ne soit en vue. Le 1er juin, la procureure générale nouvellement élue du Massachusetts, Andrea Joy Campbell, a commencé à appliquer la loi en l'absence d'une décision de justice pour ou contre. La lettre de la NHTSA, deux semaines plus tard, a mis un frein à l'application de la loi par l'État.
Il n’y a qu’un seul problème : la loi du Massachusetts sur le droit à la réparation des automobiles ne fait rien de ce que dit la lettre de la NHTSA. Telle qu'elle a été rédigée et adoptée par les électeurs du Massachusetts, la loi dit simplement que les véhicules vendus dans le Massachusetts qui utilisent un système télématique doivent équiper ces véhicules d'une « plate-forme interopérable, standardisée et à accès ouvert pour toutes les marques et tous les modèles du constructeur ». La sécurité n'est pas une réflexion après coup. En effet, la loi précise qu’« une telle plateforme doit être capable de communiquer de manière sécurisée toutes les données mécaniques émanant directement du véhicule automobile via une connexion directe des données à la plateforme ».
C'est ça. Le mot « ouvert » n'apparaît qu'une seule fois dans la mise à jour 2020 de la loi sur l'accès aux données et il est utilisé dans le contexte de « non propriétaire » et non de « non sécurisé ». Ce que fait la loi, c'est retirer les constructeurs automobiles du rôle de gardiens qui peuvent décider qui a accès aux données télématiques des véhicules. Au lieu de cela, il affirme que les individus peuvent accéder et partager les données télématiques produites par leur véhicule comme bon leur semble, y compris avec des professionnels de réparation tiers indépendants.