Cybersecurity for the Connected CarNabil Bouzerna - Head of Cybersecurity Labs / CHESS Platform Architect

Prepare for Meetup #9 Connected & Autonomous Car

2017/09/13 - Paris

SEGACOVESEcure GAteway for the COnnected VEhicle

2

SEcure GAteway for the COnnected VEhicle

▪ The connected car has a lot of data being transmitted internally

and externally.▪ These communications are managed by a central communication

hub: the gateway.

• Single Point of Failure / Single Point of Attack

▪ So we have to assess counter-measures against cyber-attacks• We want to measure the benefits or drawbacks of several technologies:

o Machine Learning (Deep Neural Networks, K-Means Clustering, etc.) o Lightweight cryptography

Context

3

SEcure GAteway for the COnnected VEhicle

The CAN BUS architecture

4

SEcure GAteway for the COnnected VEhicle

▪ Makestorming proposes an exclusive approach and tools

fully dedicated to big organizations to enable a new

relationship to work.

▪ Very concrete results on short time: Sprint

Maskestorming

5

SEcure GAteway for the COnnected VEhicle

6

SEcure GAteway for the COnnected VEhicle

7

SEcure GAteway for the COnnected VEhicle

8

SEcure GAteway for the COnnected VEhicle

9

SEcure GAteway for the COnnected VEhicle

How to automate learning and policy creation

10

• Learns all the behaviours in a vehicle from message traffic

• Detects anomalies in message patterns, payload values, traffic rates and other device activity on the bus

Questions?nabil.bouzerna@irt-systemx.fr

@NabilBouzerna

Photo Credit: Flavien Quesnel ;-)

11

SODA-IIOTSecured On-the-pouce Decentralized Architecture for the Industrial Internet of Things

12

Secured On-the-pouce Decentralized Architecture for the

Industrial Internet of Things

▪ SODA-IIoT

• Building the Internet of Things requires deploying a huge number of devices with full or limited connectivity to the Internet.

• Given that these devices are exposed to attackers and generally not secured-by-design, it is essential to be able to update them, to patch

their vulnerabilities and to prevent hackers from enrolling them into botnets.

• Ideally, the update infrastructure should implement the CIA triad properties, i.e., confidentiality, integrity and availability. In this work, we investigate how the use of a blockchain infrastructure can meet these requirements, with a focus on availability.

SODA-IIoT

13

SODA-IIoT4SmartGrids with Engie Lab (France)

14

Secured On-the-pouce Decentralized Architecture for the

Industrial Internet of Things

15

Architecture

SODA-IIoT4Automotive

16

Secured On-the-pouce Decentralized Architecture for the

Industrial Internet of Things

▪ Blockchain to keep the Automotive ECUs up-to-date

• Connected vehicles are composed of several dozens of Electronic Control Units (ECU). With the increasing connectivity of the vehicles, the update of the ECU software will soon be performed Over-The-Air (OTA).

• This includes the update of the in-vehicle infotainment, but also the more critical ECUs such as the body, motion and Advanced Driving Assistance Systems (ADAS) ECUs.

SODA-IIoT4Automotive

17

18

More information

▪ SEGACOVE:

• http://makestorming.com/

▪ SODA-IIoT

• Publication "Towards Better Availability and Accountability for IoT Updates by means of a Blockchain" by Aymen Boudguiga, Nabil Bouzerna, Louis Granboulan, Alexis Olivereau, Flavien Quesnel, Anthony Roger and Renaud Sirdey - 29 April 2017 on IEEE Security & Blockchain workshop (an IEEE European Symposium on Security and Privacy and Eurocrypt2017 affiliatedworkshop)

• “SODA-IIoT4Automotive: Blockchain to keep the Automotive ECU up-to-date”, Antoine Boulanger (PSA), Benjamin Venelle (Valeo), Nabil Bouzerna(IRT SystemX)

19

Questions?nabil.bouzerna@irt-systemx.fr

@NabilBouzerna

Photo Credit: Flavien Quesnel ;-)

20

NEXYADAutomo've&Transporta'on95ruePéreire78100SaintGermainenLaye,FranceTel:+33139041360

SafetyNexAppEvalua3ondurisquedeconduiteentempsréel

Meetup13septembre2017

Ø  SommairedeSafetyNex

75% des accidents de la route résultent d’une inadaptation de la vitesse du véhicule aux difficultés de l’infrastructure routière (administration de la sécurité routière) SafetyNex est une application smartphone qui mesure en temps réel le risque pris par le conducteur. SafetyNex donne des alertes vocales AVANT un danger potentiel pour laisser le temps de ralentir ou freiner au conducteur. SafetyNex récompense les bons conducteurs (possibilités de Gamification). SafetyNex enregistre les profils de risque et d’usage des utilisateurs. SafetyNex pour les assureurs, les flottes, et les constructeurs automobiles.

répar33ondescausesd'accident

Inadapta'ondelavitesseàladifficultédel'infrastructure

Contextemobile:autresusagersdelaroute(voitures,camions,motos,piétons,…)Condi'onsmétéo

EtatduConducteur(hypovigilance…)

75%13%9%4%

(chiffresSécuritéRou'ère)

NB:A[en'onàl’interpréta'onerronéede«leconducteurestimpliquédans90%desaccidentsgraves»

Ø  Lescausesd’accident

Ø  VidéodeSafetyNexAppàbord

Cliquersurl’image

Ø  No3onderisque

NB:lachancenechangepaslerisquequeprendleconducteur.Celasignifieque le risqueprispar le«conducteur risquéetchanceux»estexactementlemêmequeceluiprisparle«conducteurrisquéetmalchanceux».Ilestdoncpossiblededétecterleconducteurrisquéavantqu’ilaitunaccident(an3cipa3ondescoûts).Unefoisdétecté,ilestpossibledelecoacher(programmedepréven3on).Puisque l’es'ma'on du risque de SafetyNex est calculé en tempsréel, il est possible d’alerter le conducteur (quand son risquedépasseunseuilacceptable),et si le conducteur ralen't,alors sonrisque repasse au vert. C’est un systèmedepréven3onembarqué(ADAS).L’observa'on des accidents sur une courte période (3 mois parexemple) ne montrera aucune différence entre le « conducteurprudent»et«conducteur risquéetchanceux» (lesdeuxn’aurontpas d’accident). C’est une gros problème pour l’UBI, et SafetyNexapporte la solu'on en an3cipant l’accident (tôt ou tard le«conducteurrisquéetchanceux»auraunaccidentsévère).

Cliquersurl’imagepourjouerlavidéo

3–Conducteurprudent

Ø  Interfacesdel’AppSafetyNexExemplesd’interfacepoursmartphones Lesinterfacesprincipalessont

des alertes vocales et desbips;pendantlaconduite, lesinterfaces visuelles restentdiscrètes.

L’App SafetyNex est une implémenta3on à bas coûtdeveloppée par Nexyad. Mais c’est aussi un système defusiondedonnéesauquelonpeutajouterd’autrescapteurs(caméras,radar,lidars,ultrasons...)etdesdonnées(météo,trafficrou'er,...)

Ø  Donnéesderisqueetd’usage

Urbain

Duréedetrajet

AutorouteJour Nuit

Semaine

WeekendRoute

N°detrajet

Distance

Exper3seDeconduite

Risqueconsen3

NonExper3se

Manqued’an3cipa3on

Lespossibilitésd’analysescroiséesdesdonnéesderisquéetdesdonnéesd’usagesonttrèsnombreuses:

Etc.

Importanteremontéededonnéesprécieusesetindividualisées

Risquedeconduite:desprofils,ilestpossibled’extrairetroisdimensions(actuellementenimplémenta3on):.Risqueprisvolontairementparleconducteur.Exper3seounonexper3sedeconduite.Manqued’an3cipa3on

Risqueprisvolontairementparleconducteur

2écarttypes=«non-répétabilité»delaconduite(contrairedel’exper3se)

Manqued’an3cipa3on

Ø  U3lisa3onsréférencéesdeSafetyNex

AssuranceAuto.Préven'on(conduiteaccompagnée,débutants,séniorsprofessionnels,individuels,etc.).UBI(profilsderisque,profilsd’usage). Réduc'ondes coûts (moinsd’accidents, enpar'culiermoins de dommages corporels) + transforma'on decorporelsendommagesmatériels.Détec'ondel’u'lisa'ondusmartphoneenconduiteVéhiculeautonome. Donner une informa'on importante à l’intelligencear'ficielle : sa prise de risque à chaque instant ! (si lerisqueesttropélevé>>>ralen'r). Fusion de données et de capteurs (caméras, lidars,radars,ultrasons,météo,trafic,etc.)

Direc3ondeflode.Préven'on(coachingdesconducteurs),acquisi'ondeconnaissancesquantauxchoixdeconduite.Réduc'ondescoûts(moinsd’accidents,enpar'culiermoinsdedommagescorporels)+transforma'ondecorporelsendommagesmatériels.Gamifica'on(concoursdeconduitesûre).Suivrelesrégula'onssocialesetlesloisenvigueurSystèmed’aideàlaconduite(ADAS).Déclenchementdefreinageautoma'qued’an'cipa'onpourACCintelligent(prenantencomptelasignalisa'onrou'ères,lesintersec'ons,lesvirages,etc.).Naviga'onintelligenteavecalertesderisque. Fusion de données et de capteurs (caméras, lidars,radars,ultrasons,météo,trafic,etc.)

NEXYADAutomo've&Transporta'on95ruePéreire78100SaintGermainenLaye,FranceTel:+33139041360

Ques3ons?

JfMENIER-ELYOSAvocats

ACCIDENTSDEVOITURESCONNECTÉES:

FINALEMENT,TOUTN’ESTQU’UNEQUESTIONDE

PREUVE

LECONDUCTEUR,PERSONNEPHYSIQUE,

ESTRESPONSABLE

PARDÉFAUTDESACCIDENTSCAUSÉSPARLEVÉHICULEQU’ILCONDUIT

Leconducteurdoitassurer,entoutecirconstance,lamaîtrisedesonvéhicule(arMcleR.412duCodedelarouteetarMcle5delaConvenMondeViennede1968)c’est-à-dire,enpraMque,assurerladirec&onetlecontrôledesorganesprimaires.

«Toutconducteurdoitsetenirconstammentenétatetenposi1ond’exécutercommodémentetsansdélaitouteslesmanœuvresquiluiincombent»«Toutconducteurdoitconstammentavoirlecontrôledesonvéhicule…oupouvoirguidersesanimaux»

MAISILSEDÉGAGEDESARESPONSABILITÉENCAS DE TRANSFERT DE CETTE QUALITÉ DECONDUCTEURAUNTIERS…….

JurisprudenceconstantedelaCourdeCassaJon:

•  laqualitédeconducteurn’apparJentqu’auneseulepersonneetellenesepartagepas;

•  ilpeuteffecJvementyavoirtransfertdelaqualitédeconducteur,maisseulementdanssatotalité.(CourdeCassaJon-23mars2017)

…..C’EST-À-DIREENCASDESUBSTITUTIONPARUNTIERS

Ce^esubsJtuJonestleconceptcentraldutransfertderesponsabilité.

MAISILFAUTPROUVERCETTESUBSTITUTION

Sil’onseproje^edanslecadred’une:

•  VOITUREÀDÉLÉGATIONTOTALEDECONDUITE:letransfertdelaqualitédeconducteur intervient lorsquel’HommeacMvelesystèmedeconduiteautomaMque

èAPPORTERLAPREUVEDEL’ACTIVATIONDUSYSTÈMEDECONDUITEAUTOMATIQUE

=

TRANSFERERLARESPONSABILITÉDESACCIDENTSAUVEHICULE

(àsonconstructeur)

•  VOITURE À DÉLÉGATION PARTIELLE DE CONDUITE : la maîtrise desorganesdedirecMon(volant)etdeceuxdepropulsion(moteuretfreins),esttechniquement,réparJeentrel’HommeetleMachine:

è APPORTERLAPREUVEDEL’ACTIVATIONDUSYSTÈMED’AIDEALACONDUITE

N’ENTRAINE

NISUBSTITUTION,NITRANSFERTDELAQUALITÉDECONDUCTEUR

En conséquence de ceDÉFAUTDE TRANSFERTDE LA QUALITÉ DE CONDUCTEUR (pour lesVDPC)seposealorslaquesMon:

-  NON,DUTRANSFERTDERESPONSABILITÉ,

-  MAIS, celle de LA CO-RESPONSABILITÉ, duP A R T A G E d e L ’ O B L I G A T I O NL’INDEMNISATION et de LA CHARGE DESRÉPARATIONS

ArJcle 1265 du projet de réforme de laresponsabilitécivile(formaliseauseinduCodecivil,lesrèglesissuesdelajurisprudencesurl’incidencedelapluralitéderesponsables)

Lorsqueplusieurspersonnessontresponsablesd’unmêmedommage,ellessontsolidairementtenuesàrépara&onenverslavic&me.Si:- AUCUNE D’ELLES N’A COMMIS DE FAUTE, ELLES CONTRIBUENT ÀPROPORTION DU RÔLE CAUSAL DU FAIT GÉNÉRATEUR QUI LEUR ESTIMPUTABLE,ouàdéfautparpartségales.- TOUTESOUCERTAINESD’ENTREELLESONTCOMMISUNEFAUTE, ELLESCONTRIBUENT ENTRE ELLES À PROPORTION DE LA GRAVITÉ ET DU RÔLECAUSALDUFAITGÉNÉRATEURQUILEURESTIMPUTABLE.

DANSLESDEUXCAS,ILFAUDRA«PROUVER»

•  dans les véhicules autonomes : preuve de l’ac&va&on du système de conduiteautoma&sé,emportantlasubs&tu&on�transferttotalderesponsabilité

•  danslesvéhiculesàdéléga&onpar&elledeconduite :preuve(1)desac&onsdel’Hommed’unepartet(2)cellesdelamachinedel’autre,afindedéterminerlagravitéetlerôlecausaldufaitgénérateurquileurestimputableàchacunetquiaurapourconséquencededéterminerlapropor&ondesrépara&onsmisesàleurschargesrespec&ves.

LEVÉRITABLEENJEU,C’ESTDONCLAPREUVELAPREUVEESTLAPIERREANGULAIREDURÉGIMEDERESPONSABILITÉ

PASDEPREUVE,PASDEDROITS«actoriIncumbitProba1o»-LaPreuveIncombeAuDemandeur«nonJusDeficitSedProba1o»-CeN'estPasLeDroitQuiEstDéfaillant,MaisLaPreuve»

LACHARGEDELAPREUVEPÈSE,ENPREMIERLIEUSURLAPERSONNEASSISEDERRIÈRE LE VOLANT ET QUI, PRÉSUMÉE ÊTRE LE CONDUCTEUR, ESTRÉPUTÉE AVOIR SEULE LA MAÎTRISE PERMANENTE DU VÉHICULE ET QUIASSUME,PARDÉFAUT,LESDOMMAGESCAUSÉSAUXTIERS.

ELLEPEUT(etdoit)APPORTERLAPREUVECONTRAIREenDEMONTRANT:

•  SOITLADÉLÉGATIONTOTALE

•  SOIT LA DÉLÉGATION PARTIELLE ET LE CARACTÈRE CAUSAL DE LADÉFAILLANCEDESCOMPOSANTSDUVÉHICULE.

LERÔLECENTRALDES«BOITESNOIRES»

QuelsouMls?

•  BUS CAN, réseau interne au véhicule qui transmet les consignes entre lesdifférents composants, est exploité de manière judiciaire qui enregistre enpermanencesesprincipauxparamètresqui sont,dans l’étatactuel, souscontrôleduconducteur:direc1on,vitesse,accéléra1on,décéléra1on,freinage,aver1sseursdechangementdedirec1onouéclairage.

•  EVENTSDATARECORDER(EDR), enregistreursdesparamètresdeconduite(dontlecontenuestd’oresetdéjàfixéaminima,auxÉtats-Unis,pourlesconstructeursquil’embarqueparlefinalruling49CFRPart563;

•  AUTOMOTIVE DIGITAL DATA RECORDER (ADDR), qui pourraient enregistrerbeaucoupplusdedonnéesqueleBUSCAN(oumêmel’EDR)c’est-à-diretouslesévénements influant sur la propulsion et la direc&on du véhicule intervenantpendantletrajet,qu’ilssoientdufaitdel’Hommeoudelamachine.

UN ENJEU INDUSTRIEL DÉR IVÉ : LASÉCURISATION DES DONNÉES PROBATOIRESISSUESDESBOITESNOIRES

LESDONNÉESÀFINALITÉPROBATOIRE(ISSUEDEL’EDR/ADDR)SONTDONCLACLÉDURÉGIMEDESACCIDENTSDELAROUTEPOURVÉHICULESDTPC

LEURSÉCURISATIONESTUNFACTEURCRITIQUE

•  descondi&onsdecollecte,•  descondi&onsdeleurconserva&on,•  descondi&onsdeleurintégrité,•  etc.….

Cf.lerégimedu«coffrefortélectronique»

C’EST ICI QUE LES EXPERTS EN CYBERSÉCURITÉ TROUVENT TOUTE LEUR PLACE…VOIREUN«NOUVEAUMARCHÉ»

D’autresquesMonsseposentàproposdecesdonnées:

•  LocalisaJondesdonnées:danslevéhicule?Chezlefournisseurdel’ADDR?ChezunMers?

•  Accèsauxdonnées:Quipourrayaccéder?dansquellescondiMons?

•  Traitementdesdonnéesbrutes:quitraitera?dansquellescondiMons?

Véhicules connectés avec délégaMon de niveau 1, 2 ou 3, l’enjeu est d’importancepuisquecesontcesdonnéesquiconduiront:-  SOITÀUNECO-RESPONSABILITÉDANSLASURVENANCEDEL’ACCIDENTETÀUN

PARTAGE DE LA CHARGE DE L’INDEMNISATION DANS DES PROPORTIONS ÀDÉTERMINERentreleconducteuretlefabricantduvéhicule(etaufournisseurducomposantdéfaillant)

-  SOIT À UN MAINTIEN OU À UN REPORT TOTAL DE LA RESPONSABILITÉ DUCONDUCTEURSURLECONSTRUCTEUR (enpremier lieuet sursesfournisseursouseprestataireséventuellementimpliquésparvoied’appelengaranMe.)

DESQUESTIONS?

MERCIDEVOTREATTENTION

Jean-FrançoisMENIER-ELYOSAVOCATS

AvocatauBarreaudeParis

9,avenuedelaGrandeArmée–75116PARIS

06-46-3-67-378