Protection des données dans les véhicules connectés

Sous la rubrique "Internet des objets" (IdO), un certain nombre de niveaux d'application sont décrits dans l'industrie automobile qui doivent permettre l'efficacité, en particulier dans la fabrication ainsi que dans le trafic. Si l'on tient également compte des développements dans le domaine de l'industrie 4.0, il s'agit surtout d'applications efficaces et d'analyses d'informations corrélées. Cependant, la destination du voyage avec les fourgonnettes et les voitures particulières en réseau est indiquée, par exemple, par les rapports d'accident des véhicules équipés de capteurs de distance. Comme les conducteurs ne se fient apparemment qu'à leur pilote automatique, ils ont même été blessés dans la circulation lente. - Comment les conducteurs peuvent-ils se protéger contre les informations erronées ?

La norme internationale ISO/IEC 27001 (voir encadré) fournit des données essentielles sur les lacunes des technologies de l'information et même sur les essais de type inadéquats. La norme ISO 27001 est structurée de la même manière que la norme ISO 9001, mais elle ne comprend pas de processus commerciaux, mais plutôt des mesures visant à garantir la sécurité de l'information.

Obstacles juridiques
Sur le plan technologique, le partage et l'analyse des données devraient contribuer à rendre la vie plus facile et plus pratique pour une entreprise comme pour les clients. Ce concept n'est pas révolutionnaire. Cependant, à l'heure de la transformation numérique, la sphère de sécurité des objets mobiles définis par les ressources ou personnalisés est une question très complexe. Même les forces exécutives présentent des lacunes dans l'interprétation des domaines qui relèvent de la sécurité des données et de la sécurité informatique. La loi suisse sur la protection des données (LPD), art. 11 VE LPD, garantit la sécurité des données personnelles. Toutefois, le Conseil fédéral n'édicte que des exigences minimales.

L'article 18, paragraphe 1 ("Protection des données par la technologie ...") est déjà plus précis dans sa formulation, lorsqu'il dit : "Le responsable du traitement et le sous-traitant sont tenus de prendre les mesures appropriées qui, dès la planification du traitement des données, réduisent les risques d'atteinte à la personnalité ou aux droits fondamentaux et préviennent ces atteintes".

Malgré cette protection contre les abus, de nombreux détails juridiques dans le secteur de l'information restent vagues. Par exemple, dans le cadre de la protection dite du prototype selon la norme ISO 27001:2005, les emblèmes, la signalisation et autres informations indiquant les installations spécifiques d'une entreprise sont déjà soumis à une protection rigoureuse des données et des informations.

Toutefois, les usagers de la route et la police préfèrent ces sources d'information et ces points d'orientation analogiques - bien que les interfaces vidéo des voitures soient de plus en plus utilisées pour les contrôles et les évaluations, notamment pour les preuves juridiques.

Les normes de sécurité telles que la norme ISO/IEC 27001 aident à détecter et à éviter les failles des technologies de l'information dans les PW en réseau.

Véhicules intelligents : terrain de jeu pour les cyber-espions ?
Les objets en interaction façonnent de plus en plus nos objectifs commerciaux et professionnels. La véritable révolution des véhicules connectés et intelligents réside dans le fait que la granularité des données se multiplie. Les études actuelles soulignent que les installations à grande échelle des infrastructures 5G deviendront réalité d'ici 2020.

En 2020, chaque citoyen du monde possédera en moyenne 1,5 appareil (y compris les modules M2M) - les "voitures connectées", c'est-à-dire les véhicules en réseau éventuellement équipés de médias sociaux et de programmes d'info-divertissement adaptés, ne sont pas encore inclus dans le calcul.

De plus grandes capacités de stockage et des vitesses de traitement accrues fournissent - progressivement en temps réel - des informations qui peuvent être soit mappées dans une mémoire principale, soit lues sans accès à une base de données. Cela profite à un certain nombre de parties prenantes internes et externes de l'industrie automobile.

Il est de plus en plus évident que les domaines complexes dans lesquels se situent les défis et les opportunités des technologies de l'information sont de plus en plus évidents : Fondamentalement, les unités du système qui communiquent entre elles doivent être capables de parler la "même langue". Cela nécessite des systèmes de communication uniformes (codes centraux) qui peuvent être utilisés et interprétés correctement par tous les participants. Dans certains cas, cependant, il existe des lacunes sensibles dans de nombreux dispositifs "intelligents" de la voiture.

Qu'il s'agisse de l'ouverture à distance des portières d'un véhicule, des interfaces Bluetooth, des modems cellulaires intégrés, des mises à jour manipulées de micrologiciels - capteurs, CD audio et autres éléments de commande d'un véhicule : les voitures en réseau offrent des failles pour les cyber-espions. Les initiés en ont pris conscience en 2015 lorsque la compagnie d'assurance ADAC a fait une démonstration de piratage du système en ligne de BMW, ConnectedDrive.

Un bogue dans le logiciel, qui a depuis été corrigé par BMW, aurait permis à des voleurs ayant des compétences techniques suffisantes de déverrouiller et d'ouvrir les portes de 2,2 millions de véhicules BMW dans le monde entier via les communications mobiles. Symantec, une entreprise américaine de logiciels, signale également des points d'attaque en relation avec les véhicules intelligents.

On distingue essentiellement les attaques à distance et les attaques physiques (attaques directes) sur la voiture. Selon Symantec, il ne s'agit pas d'une attaque à distance si quelqu'un envoie un code malveillant ou modifie le bus CAN (Controller Area Network) pour mettre en réseau l'ECU (Electronic Control Unit) intégré dans le véhicule.

Les experts parlent d'attaque à distance lorsque la protection antivol, le système de navigation ou l'affichage de la pression des pneus sont manipulés dans les systèmes de la voiture contrôlés par les calculateurs.

Technologies de pointe
Les fonctions de sécurité et de diagnostic sont de toute évidence le critère le plus important pour environ 75 % des acheteurs de voitures, avant les autres outils électroniques dans les véhicules, souligne le "Rapport 2016 sur l'industrie automobile connectée".

Les principaux équipementiers automobiles auraient pu vendre en moyenne 1,4 million de voitures connectées par mois d'ici la fin 2016, poursuit le rapport récemment publié. Cependant, là où il existe des installations bénéfiques comme l'internet dans la voiture, des lignes juridiques controversées pourraient être tracées dans un avenir proche.

Pour l'industrie automobile, des tendances fondamentales se dessinent déjà pour l'"Internet des objets" dans les véhicules en réseau :

• Des entreprises telles que Google, Baidu - et en Suisse les CFF et la Poste - s'efforcent de développer leurs propres véhicules pouvant rouler de manière autonome.
• L'internet des objets devient de plus en plus mobile et public. Toutefois, cela nécessitera la coordination d'innombrables données.
• Les équipementiers tels qu'Audi, Daimler, BMW et Tesla développent des systèmes d'assistance. Ils proposent déjà aujourd'hui des variantes d'équipement correspondantes.
• L'internet des objets nécessite également des données et des interfaces sans fil très répandues.

D'autres représentants de l'industrie des fournisseurs, comme Bosch ou Continental, travaillent intensivement sur les caractéristiques sensorielles correspondantes. En tant que moteurs de l'innovation de l'IdO, ils travaillent avec divers développeurs du secteur des TI pour mettre les nouvelles technologies sur la route. Les projets de Bosch sur le thème de la RFID montrent déjà un degré élevé de mise en œuvre pour le public.

L'identification par radiofréquence (en abrégé : RFID) est un processus d'identification automatique qui aura diverses applications. Il s'agit d'une technologie de communication sans contact qui transmet des informations pour l'identification de personnes, d'animaux, de biens et de marchandises.

La communication au sein d'une entreprise (concepts d'entrepôt/logistique) est clairement le scénario le plus avancé du secteur. En outre, il s'agit d'intégrer les fournisseurs et les partenaires commerciaux dans les processus - l'activité la plus importante à cet égard est certainement le projet RAN (RFID Automotive Network), qui a été financé par le BMWi et dont les résultats sont actuellement développés au sein du groupe de travail du Verband der Automobilindustrie e. V., VDA.

Conflits actuels
La perception du public est toujours celle d'une prévention des accidents analogue et de "campagnes d'assurance communes" selon lesquelles les conducteurs devraient garder les mains sur le volant. En ce qui concerne la navigation intelligente, la communication, les assistants de distance et de caméra et les sources potentielles de distraction, le droit suisse de la circulation reste encore vague.

Avec les "dashcams", qui sont utilisées par les chauffeurs de camion, par exemple, pour montrer et évaluer les vitesses et les distances, les conducteurs courent le risque de s'auto-incriminer en cas d'infraction au code de la route. Non seulement les compagnies d'assurance, mais aussi les patrouilles de police, en particulier, préconisent l'utilisation de caméras de surveillance ou d'appareils similaires. En revanche, le Préposé fédéral à la protection des données et à la transparence (PFPDT) constate des atteintes à la vie privée dans le cas d'enregistrements de personnes par caméra.

Selon une directive du PFPDT, la police ne peut enregistrer que si elle observe une violation concrète du code de la route ou si elle a au moins un soupçon raisonnable.

Si vous installez maintenant volontairement des enregistreurs de distance résiduelle (abréviation : RAG) ou des dispositifs de stockage des données d'accident (abréviation : UDS) dans les véhicules, vous acceptez en soi de remettre les informations pertinentes (preuves civiles) aux autorités chargées de l'enquête pendant et après un accident de la circulation afin de déterminer une défaillance humaine ou technique.

Les conflits d'intérêts qui circulent dans le trafic routier numérisé et dans l'utilisation de véhicules hautement automatisés sont la preuve qu'une réforme juridique valable - dans le cas des entreprises, une certification correspondante - doit être introduite. Enfin, la qualité et la maniabilité des appareils d'enregistrement doivent toujours être remises en question de manière critique, par exemple en ce qui concerne leurs formats, leur standardisation - également en ce qui concerne les éventuels points de sécurité inadéquats.