Cybersécurité des voitures connectées

Votre voiture vous écoute — et pas seulement pour lancer Spotify

En 2023, 192 millions de véhicules connectés circulaient sur les routes mondiales. D’ici 2027, ce chiffre devrait dépasser les 367 millions. Le marché associé, estimé à 74 milliards de dollars en 2024, pourrait atteindre 165 milliards d’ici 2029, avec un taux de croissance annuel de près de 17 %. Ce n’est pas une anecdote industrielle : c’est une transformation de fond qui touche à la façon dont nous nous déplaçons, dont nos données circulent, et dont notre sécurité — physique autant que numérique — est gérée.

La voiture n’est plus un objet mécanique avec quelques gadgets électroniques. Elle est devenue un nœud de réseau roulant, un ordinateur embarqué qui collecte, transmet et reçoit en permanence des données. Et comme tout objet connecté à internet, elle est exposée. La question n’est plus de savoir si les véhicules connectés sont vulnérables — ils le sont, structurellement — mais de comprendre pourquoi, à quelle échelle, et ce que cela implique pour nous, conducteurs, passagers et citoyens.

Le « Software Defined Vehicle » : quand la voiture devient un logiciel sur roues

Pour saisir les enjeux de cybersécurité, il faut d’abord comprendre ce qu’est réellement un véhicule connecté moderne. Luca de Meo, CEO du groupe Renault, l’a formulé clairement : «Le véhicule défini par le logiciel, nommé Software Defined Vehicle, représente l’avenir de l’industrie automobile.» Derrière cette formule de manager se cache une réalité technique profonde.

Selon le cabinet Haas Avocats, la définition officielle du Comité européen de la protection des données (CEPD) est limpide : un véhicule connecté est équipé de nombreuses unités de commande reliées entre elles via des réseaux embarqués et des dispositifs de connectivité — Cloud, IoT, 5G, Bluetooth. Ces unités communiquent en permanence, à l’intérieur du véhicule comme avec l’extérieur, pour des usages aussi variés que la navigation, la sécurité active, la gestion du moteur, le divertissement ou les mises à jour à distance.

Prenez une Tesla, une BMW série 7 récente, ou même une Renault Mégane E-Tech. Ces voitures embarquent des centaines de capteurs, des dizaines d’unités de calcul, et plusieurs interfaces de communication simultanées. Elles sont connectées au réseau téléphonique, au Wi-Fi, aux satellites de géolocalisation, aux autres véhicules (V2V), aux infrastructures routières (V2I) et aux serveurs du constructeur. Volkswagen va encore plus loin en développant son propre système d’exploitation propriétaire, destiné à équiper l’intégralité de sa flotte. L’analogie avec un smartphone est inévitable — sauf que quand un smartphone bugue, il ne provoque pas d’accident mortel.

Cette architecture technologique crée une surface d’attaque considérable. Imaginez une maison dont chaque fenêtre, chaque porte, chaque ventilation serait connectée à internet. Sécuriser l’ensemble devient un défi d’une complexité radicalement différente de celui posé par une serrure traditionnelle.

Une surface d’attaque qui s’étend avec chaque capteur ajouté

Comme le souligne le livre blanc publié par BCA Expertise et Orange Business, «tous les véhicules sont devenus des objets connectés et communicants». Cette réalité s’amplifie avec l’intégration de technologies d’autonomisation de la conduite basées sur l’intelligence artificielle et des capteurs toujours plus nombreux et toujours plus sophistiqués.

Le paradoxe est saisissant et mérite d’être formulé sans détour : plus un véhicule gagne en autonomie, plus son niveau de sécurité informatique est fragilisé. Ce n’est pas un jugement de valeur, c’est une conséquence logique. Plus le véhicule prend de décisions de manière autonome, plus il doit traiter de données en temps réel, plus il doit être connecté à des sources d’information externes, et donc plus il expose de surfaces potentiellement exploitables par un attaquant.

Les vecteurs d’attaque sont multiples :

• Les interfaces sans fil : Bluetooth, Wi-Fi, 4G/5G — chaque protocole est une porte potentielle.
• Les ports physiques : le port OBD-II, présent sur quasiment tous les véhicules récents pour les diagnostics, est une cible classique.
• Les capteurs externes : caméras, radars, LiDAR — un attaquant suffisamment outillé peut tenter de tromper ces capteurs avec de faux signaux.
• Les mises à jour OTA (Over The Air) : si le mécanisme de mise à jour n’est pas correctement sécurisé, il devient un vecteur d’injection de code malveillant.
• Les applications tierces et les smartphones synchronisés avec le système d’infodivertissement.

Comme l’explique le cabinet Haas Avocats, «les pirates vont être en mesure de scruter l’appareil, trouver une vulnérabilité que ce soit par la voiture, un de ses capteurs ou son environnement et ainsi s’introduire dans le système.» La chaîne est aussi solide que son maillon le plus faible — et dans un véhicule connecté, les maillons sont légion.

Données personnelles, sécurité physique : les deux faces d’un même risque

Les conséquences d’une compromission d’un véhicule connecté ne se limitent pas au domaine abstrait de l’informatique. Elles se déclinent sur deux registres distincts, mais intimement liés : la vie privée et la sécurité physique.

Le véhicule comme aspirateur de données sensibles

Un véhicule connecté moderne collecte en permanence une quantité impressionnante d’informations. Vos trajets quotidiens, vos habitudes, vos horaires, vos lieux de stationnement habituels, vos contacts téléphoniques synchronisés, votre musique, vos conversations via le kit mains libres… Certains systèmes d’infodivertissement accèdent aux SMS, aux agendas, parfois même aux données biométriques (reconnaissance faciale, détection de la fatigue).

En cas d’intrusion dans le système, un attaquant pourrait accéder, selon les analyses juridiques disponibles, «aux informations bancaires du conducteur, mais également à son identité, à ses éventuelles données de santé, à sa religion, à ses origines ethniques». Ce n’est pas de la science-fiction paranoïaque : ce sont des données réellement collectées par les systèmes embarqués et les applications associées.

Cette problématique sera décuplée par l’essor de la mobilité partagée. Quand un véhicule autonome transporte successivement des dizaines d’utilisateurs différents dans une journée, les données de chacun s’accumulent dans le même système. La surface d’exposition devient proportionnellement plus grande, et la question de la responsabilité en cas de fuite, plus complexe.

La menace physique : quand la cybersécurité devient une question de vie ou de mort

L’aspect le plus préoccupant reste la sécurité physique. «La moindre interférence en capacité de subvertir les schémas de communication d’un véhicule connecté serait susceptible d’engendrer d’importantes conséquences : accident, détournement du véhicule.» Cette phrase, tirée des analyses juridiques du cabinet Haas Avocats, résume un risque concret.

Les démonstrations en laboratoire — et quelques incidents documentés — ont montré qu’il est théoriquement possible de prendre le contrôle à distance de fonctions critiques : direction, freinage, accélération. Plus le véhicule délègue de décisions au logiciel, plus ce scénario devient réaliste. Au-delà du véhicule individuel, les enjeux de la mobilité connectée incluent également les infrastructures de transport elles-mêmes, «susceptibles d’être la cible d’attaques visant à les perturber ou à les paralyser» — signalisation intelligente, gestion du trafic automatisée, péages connectés.

On passe alors d’un risque individuel à un risque systémique. Une attaque bien orchestrée sur l’infrastructure de communication d’une flotte de véhicules autonomes dans une métropole n’est plus du domaine de la dystopie cinématographique.

La géopolitique s’invite dans l’habitacle : l’affaire des voitures chinoises

La cybersécurité des véhicules connectés n’est pas seulement une question technique. Elle est devenue un enjeu géopolitique de premier plan, et les récents développements américains l’illustrent parfaitement.

Les autorités américaines ont exprimé des préoccupations explicites à l’égard des voitures connectées chinoises. La logique est simple à comprendre : un véhicule connecté est un capteur mobile. Il collecte des données sur ses passagers, sur son environnement, sur les infrastructures qu’il longe. Si ce véhicule communique en permanence avec des serveurs contrôlés par un État étranger, les implications pour la souveraineté des données et la sécurité nationale sont considérables.

Ce débat dépasse largement la question sino-américaine. Il pose une question universelle : à qui appartiennent les données collectées par un véhicule ? Au conducteur ? Au constructeur ? À l’opérateur télécom ? Au sous-traitant qui gère les serveurs cloud ? Et dans quelle juridiction ces données sont-elles stockées et traitées ? En Europe, le RGPD apporte un cadre, mais son application au secteur automobile reste complexe, notamment pour les véhicules dont les composants et les logiciels proviennent de multiples pays.

Les constructeurs européens ne sont pas exempts de critiques sur ce point. La plupart utilisent des services cloud d’acteurs américains (AWS, Azure, Google Cloud) pour traiter les données de leurs véhicules. La souveraineté numérique dans le secteur automobile est encore largement un chantier ouvert.

La connectivité, talon d’Achille infrastructurel

Un aspect souvent négligé du débat sur la cybersécurité automobile concerne l’infrastructure de connectivité elle-même. Un véhicule autonome ou semi-autonome dépend d’une connexion fiable et sécurisée pour fonctionner correctement. Or, cette dépendance est aussi une vulnérabilité.

Damien Garot, CEO de la société Stellar, est direct sur le sujet : la 5G est «une première réponse, mais elle n’offre pas une couverture suffisante sur l’ensemble de nos routes». La réalité du déploiement réseau en France et en Europe reste lacunaire hors des zones urbaines et des grands axes. Un véhicule qui perd sa connexion dans une zone blanche peut se retrouver privé de mises à jour de cartes critiques, de synchronisation avec les systèmes de gestion du trafic, ou dans les cas extrêmes, incapable d’exécuter certaines fonctions d’assistance.

La solution envisagée passe par une approche hybride : «un internet parfait sur les routes ne peut être atteint qu’en combinant toutes les technologies sans fil disponibles — cellulaire 4G/5G, Wi-Fi et satellite — grâce à des algorithmes avancés basés sur l’intelligence artificielle et une cartographie précise des réseaux télécoms.» Cette architecture multi-couches est techniquement prometteuse, mais elle multiplie également les points d’entrée potentiels pour des attaquants.

Le satellite mérite une attention particulière dans ce contexte. L’essor des constellations en orbite basse (Starlink et ses concurrents) ouvre de nouvelles perspectives de connectivité rurale, mais pose des questions spécifiques de sécurité : qui contrôle ces satellites ? Dans quelle juridiction opèrent-ils ? Comment garantir l’intégrité des données qui transitent par ces canaux ? Ce sont des questions auxquelles l’industrie automobile n’a pas encore apporté de réponses satisfaisantes.

Réglementation et responsabilité : le droit court après la technologie

Face à cette explosion de la surface d’attaque, le cadre réglementaire tente de rattraper son retard. Le livre blanc BCA Expertise et Orange Business pointe une problématique centrale : les véhicules connectés peuvent être impliqués dans des sinistres dont «la causalité et la responsabilité appellent à de nouveaux périmètres et modalités d’investigation».

En termes concrets : si une voiture semi-autonome est compromise par une cyberattaque et cause un accident, qui est responsable ? Le constructeur qui a mal sécurisé le logiciel ? L’opérateur télécom dont le réseau a été utilisé comme vecteur ? Le sous-traitant qui a fourni le composant vulnérable ? L’utilisateur qui n’a pas installé une mise à jour de sécurité critique ? Le droit de la responsabilité civile n’est pas équipé pour répondre à ces questions avec les outils actuels.

Au niveau international, deux normes font référence : l’ISO/SAE 21434, qui définit les exigences de cybersécurité pour l’ingénierie des systèmes électriques et électroniques des véhicules routiers, et le règlement ONU n°155, entré en vigueur en 2022 pour les nouveaux types de véhicules en Europe, qui impose aux constructeurs de mettre en place un système de management de la cybersécurité tout au long du cycle de vie du véhicule. Ces textes représentent une avancée réelle, mais leur mise en application pratique, notamment pour les véhicules déjà en circulation, reste un défi considérable.

Pour les flottes d’entreprises, la cybersécurité des automobiles est devenue un enjeu stratégique qui ne peut plus être ignoré dans les politiques de sécurité informatique. Une flotte de véhicules connectés représente autant de points d’entrée potentiels dans le système d’information de l’entreprise — et les directions informatiques commencent seulement à intégrer ce paramètre dans leurs analyses de risque.

Ce que nous pouvons faire — et ce que nous devons exiger

La bonne nouvelle, si tant est qu’il faille en chercher une, c’est que la prise de conscience progresse. L’industrie automobile investit massivement dans la cybersécurité embarquée, des organismes comme l’ENISA (Agence européenne pour la cybersécurité) publient des guides sectoriels, et la réglementation s’étoffe. Mais l’échelle du défi reste considérable, et il serait naïf de laisser la résolution de ce problème uniquement aux constructeurs et aux régulateurs.

En tant qu’utilisateurs, voici les réflexes de base qui s’imposent :

• Maintenir le logiciel à jour : les mises à jour OTA ne sont pas optionnelles quand elles corrigent des vulnérabilités de sécurité. Refuser une mise à jour, c’est parfois maintenir une faille ouverte.
• Limiter les applications tierces connectées au système d’infodivertissement. Chaque application synchronisée est un vecteur potentiel.
• Comprendre ce que collecte votre véhicule : lisez les politiques de confidentialité du constructeur (fastidieux, mais instructif) et désactivez les collectes non essentielles quand c’est possible.
• Être prudent avec les bornes de charge publiques : certains chercheurs ont démontré des risques de transfert de données via les connecteurs de charge — le « juice jacking » automobile est encore marginal mais documenté.
• Poser des questions avant d’acheter : quelle est la politique de support logiciel du constructeur ? Pendant combien d’années les mises à jour de sécurité sont-elles garanties ? Où sont stockées mes données ? Autant de questions que nous posons déjà pour nos smartphones, et que nous devons apprendre à poser pour nos voitures.

Au niveau collectif, les enjeux sont encore plus structurants. La révolution du véhicule connecté transforme en profondeur le rapport entre constructeurs, utilisateurs et données. Comme le résume le cabinet Haas Avocats, «le constructeur se tournera vers la fourniture de services, le conducteur deviendra un passager et le propriétaire deviendra un utilisateur». Cette évolution n’est pas nécessairement mauvaise en soi — mais elle doit s’accompagner de droits clairs, de transparence réelle et de mécanismes de contrôle effectifs pour les utilisateurs.

La souveraineté numérique ne s’arrête pas à la porte de votre navigateur web ou à la politique de confidentialité de votre réseau social favori. Elle monte avec vous dans votre voiture chaque matin. Et à mesure que les véhicules gagnent en intelligence et en connectivité, cette question ne fera que gagner en acuité. La cybersécurité des véhicules connectés n’est pas un détail technique réservé aux ingénieurs : c’est un enjeu de société qui mérite un débat public à la hauteur des risques qu’il implique.