« La sécurité informatique autour de l’automobile va devenir de plus en plus critique au fil des années »
Étudiant en 5e année au sein de la Majeure Systèmes, Réseaux et Sécurité (SRS) en plus d’être assistant au sein du Laboratoire Sécurité & Système de l’EPITA (LSE), Stanislas Lejay (EPITA promo 2018) s’intéresse depuis longtemps à la question de la sécurité informatique associée au monde automobile. C’est cet attrait qui l’a mené à travailler étroitement avec l’entreprise Quarkslab et à coorganiser avec cette dernière le concours CodeBlue qui s’est déroulé au Japon au début du mois de novembre 2017. Entretien avec un futur ingénieur en pole position pour aborder le sujet du hacking automobile.
Stanislas (à gauche) est passionné de sécurité informatique et d’automobile
Peux-tu rappeler ce qu’est Quarkslab ?
Stanislas Lejay : Il s’agit d’une entreprise parisienne de sécurité informatique avec qui j’ai commencé à travailler en parallèle à mes études à l’EPITA. Au départ, je l’avais contactée par rapport à l’un de mes projets, lors que j’analysais les bus informatiques internes aux voitures. De fil en aiguilles, ses équipes m’ont proposé de poursuivre mes travaux avec eux sur mon temps libre afin de développer de nouveaux projets et me permettre de monter en compétences. Et depuis le mois de septembre 2017, j’ai rejoint l’entreprise en tant que stagiaire.
Pourquoi le monde de l’informatique associé à l’automobile t’attire ?
J’ai toujours aimé « jouer » avec les voitures : je trouve la mécanique passionnante. Or, comme je suis également passionné d’informatique, j’ai très vite eu l’envie de coupler mes deux centres d’intérêt.
Quel a été ton rôle au sein de CodeBlue ?
CodeBlue est un événement consacré au hacking qui propose à la fois une grande conférence, des concours et différentes présentations. Pour cette édition, j’ai été chargé de coorganiser avec Quarkslab une compétition axée sur le hacking automobile. L’événement s’est déroulé à Tokyo du 6 au 9 novembre, dans le quartier de Shinjuku. Je m’y suis donc rendu pour organiser le concours et encadrer la vingtaine d’équipes participantes, chaque équipe étant constituée de trois à quatre personnes. La majorité des équipes participantes étaient japonaises, même si des équipes ayant réussi à se démarquer comptaient également des membres de différentes nationalités. J’ai ensuite profité de ma présence pour rester une dizaine de jours de plus et visiter le Japon que je découvrais pour la première fois.
En quoi consistait le concours ?
Nous leur avons donné la version « simplifiée » d’un système automobile, du genre de ceux que l’on peut retrouver sur des voitures plus ou moins récentes, puis leur demandions d’attaquer le système en exploitant ses vulnérabilités afin de pouvoir prendre le contrôle du bus et donc de la voiture.
Le niveau était-il relevé ?
Plutôt, oui. La plupart des participants avait déjà une certaine expérience en matière de système automobile. D’ailleurs, plusieurs équipes ont apporté leur propre matériel pour la compétition. Elles ont rapidement compris comment fonctionnait le protocole custom que nous avions mis dans le système : elles savaient ce qu’elles avaient à faire et comment le faire. La meilleure équipe a ainsi pu relever neuf des douze challenges proposés. Cela démontre une certaine aisance dans le hacking automobile.
Que retiens-tu de CodeBlue au final ?
L’atmosphère très particulière et la sympathie des Japonais. Tous les participants étaient polis et calmes, ce qui a permis au concours de se dérouler parfaitement. Organiser un événement dans de telles conditions était vraiment agréable. Cela restera un très bon souvenir.
Il n’y a pas eu de souci de communication avec les participants ?
Non, la barrière de la langue n’a pas été problématique. Il est vrai que les Japonais n’ont pas, en général, un très bon niveau d’anglais. Sauf que là, de par leurs connaissances en informatique, les participants étaient bien plus à l’aise avec la langue. De notre côté, nous avions également un peu pratiqué le japonais avant l’événement, histoire de pouvoir se faire comprendre un maximum si nécessaire.
Stanislas lors du concours CodeBlue
Cela t’a donné envie de travailler un jour au Japon ?
Je dois justement effectuer un stage de six mois là-bas en février, dans une structure qui découle d’une collaboration entre Quarkslab et une société japonaise. On verra comme cela se passera sur place. Peut-être que cela me donnera envie de rester, qui sait ?
Quelle profession souhaites-tu faire après l’EPITA ?
J’y réfléchis souvent, bien sûr, mais si je connais le secteur, à savoir l’automobile, je ne suis pas encore en mesure de dire le métier. Je pense que le stage me permettra d’y voir plus clair. Pour autant, je sais que je ne vais pas avoir de problème à trouver ce que je veux en sortant de l’EPITA.
En tant qu’étudiant et passionné de sécurité informatique, penses-tu que ce sujet va prendre de plus en plus d’importance dans l’automobile au vu de l’évolution des véhicules ?
Oui et c’est le principal message que nous voulions faire passer durant CodeBlue : avec l’arrivée des voitures connectées et autonomes, le hacking automobile est déjà important. Récemment, certaines attaques ont même été d’une grande ampleur, comme lorsque des hackers ont, depuis chez eux, réussi à prendre le contrôle de véhicules sur l’autoroute. Il est donc primordial de sensibiliser les gens : la sécurité informatique autour de l’automobile va devenir de plus en plus critique au fil des années.
Les systèmes des véhicules font-ils déjà l’objet de tests avant une éventuelle mise sur le marché ?
Cela existe, mais ce n’est pas encore incontournable, certaines sociétés n’ayant toujours pas compris l’importance de la sécurité informatique. Pour autant, les constructeurs les plus sérieux et prévoyants confient déjà des missions d’analyses des systèmes à des entreprises spécialisées.