Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a Meetup #9 Voiture Connectée et Autonome à Paris
Similar a Meetup #9 Voiture Connectée et Autonome à Paris (20)
Más de Laurent Dunys
Más de Laurent Dunys (8)
Meetup #9 Voiture Connectée et Autonome à Paris
- 2. Cybersecurity for the Connected Car Nabil Bouzerna - Head of Cybersecurity Labs / CHESS Platform Architect Prepare for Meetup #9 Connected & Autonomous Car 2017/09/13 - Paris
- 3. SEGACOVE SEcure GAteway for the COnnected VEhicle 2
- 4. SEcure GAteway for the COnnected VEhicle ▪ The connected car has a lot of data being transmitted internally and externally. ▪ These communications are managed by a central communication hub: the gateway. • Single Point of Failure / Single Point of Attack ▪ So we have to assess counter-measures against cyber-attacks • We want to measure the benefits or drawbacks of several technologies: o Machine Learning (Deep Neural Networks, K-Means Clustering, etc.) o Lightweight cryptography Context 3
- 5. SEcure GAteway for the COnnected VEhicle The CAN BUS architecture 4
- 6. SEcure GAteway for the COnnected VEhicle ▪ Makestorming proposes an exclusive approach and tools fully dedicated to big organizations to enable a new relationship to work. ▪ Very concrete results on short time: Sprint Maskestorming 5
- 7. SEcure GAteway for the COnnected VEhicle 6
- 8. SEcure GAteway for the COnnected VEhicle 7
- 9. SEcure GAteway for the COnnected VEhicle 8
- 10. SEcure GAteway for the COnnected VEhicle 9
- 11. SEcure GAteway for the COnnected VEhicle How to automate learning and policy creation 10 • Learns all the behaviours in a vehicle from message traffic • Detects anomalies in message patterns, payload values, traffic rates and other device activity on the bus
- 13. SODA-IIOT Secured On-the-pouce Decentralized Architecture for the Industrial Internet of Things 12
- 14. Secured On-the-pouce Decentralized Architecture for the Industrial Internet of Things ▪ SODA-IIoT • Building the Internet of Things requires deploying a huge number of devices with full or limited connectivity to the Internet. • Given that these devices are exposed to attackers and generally not secured-by-design, it is essential to be able to update them, to patch their vulnerabilities and to prevent hackers from enrolling them into botnets. • Ideally, the update infrastructure should implement the CIA triad properties, i.e., confidentiality, integrity and availability. In this work, we investigate how the use of a blockchain infrastructure can meet these requirements, with a focus on availability. SODA-IIoT 13
- 15. SODA-IIoT4SmartGrids with Engie Lab (France) 14
- 16. Secured On-the-pouce Decentralized Architecture for the Industrial Internet of Things 15 Architecture
- 18. Secured On-the-pouce Decentralized Architecture for the Industrial Internet of Things ▪ Blockchain to keep the Automotive ECUs up-to-date • Connected vehicles are composed of several dozens of Electronic Control Units (ECU). With the increasing connectivity of the vehicles, the update of the ECU software will soon be performed Over-The-Air (OTA). • This includes the update of the in-vehicle infotainment, but also the more critical ECUs such as the body, motion and Advanced Driving Assistance Systems (ADAS) ECUs. SODA-IIoT4Automotive 17
- 19. 18
- 20. More information ▪ SEGACOVE: • http://makestorming.com/ ▪ SODA-IIoT • Publication "Towards Better Availability and Accountability for IoT Updates by means of a Blockchain" by Aymen Boudguiga, Nabil Bouzerna, Louis Granboulan, Alexis Olivereau, Flavien Quesnel, Anthony Roger and Renaud Sirdey - 29 April 2017 on IEEE Security & Blockchain workshop (an IEEE European Symposium on Security and Privacy and Eurocrypt2017 affiliated workshop) • “SODA-IIoT4Automotive: Blockchain to keep the Automotive ECU up-to- date”, Antoine Boulanger (PSA), Benjamin Venelle (Valeo), Nabil Bouzerna (IRT SystemX) 19
- 23. Ø Sommaire de SafetyNex 75% des accidents de la route résultent d’une inadaptation de la vitesse du véhicule aux difficultés de l’infrastructure routière (administration de la sécurité routière) SafetyNex est une application smartphone qui mesure en temps réel le risque pris par le conducteur. SafetyNex donne des alertes vocales AVANT un danger potentiel pour laisser le temps de ralentir ou freiner au conducteur. SafetyNex récompense les bons conducteurs (possibilités de Gamification). SafetyNex enregistre les profils de risque et d’usage des utilisateurs. SafetyNex pour les assureurs, les flottes, et les constructeurs automobiles.
- 26. Ø No3on de risque NB : la chance ne change pas le risque que prend le conducteur. Cela signifie que le risque pris par le « conducteur risqué et chanceux » est exactement le même que celui pris par le « conducteur risqué et malchanceux ». Il est donc possible de détecter le conducteur risqué avant qu’il ait un accident (an3cipa3on des coûts). Une fois détecté, il est possible de le coacher (programme de préven3on). Puisque l’es'ma'on du risque de SafetyNex est calculé en temps réel, il est possible d’alerter le conducteur (quand son risque dépasse un seuil acceptable), et si le conducteur ralen't, alors son risque repasse au vert. C’est un système de préven3on embarqué (ADAS). L’observa'on des accidents sur une courte période (3 mois par exemple) ne montrera aucune différence entre le « conducteur prudent » et « conducteur risqué et chanceux » (les deux n’auront pas d’accident). C’est une gros problème pour l’UBI, et SafetyNex apporte la solu'on en an3cipant l’accident (tôt ou tard le « conducteur risqué et chanceux » aura un accident sévère). Cliquer sur l’image pour jouer la vidéo 3 – Conducteur prudent
- 27. Ø Interfaces de l’App SafetyNex Exemples d’interface pour smartphones Les interfaces principales sont des alertes vocales et des bips; pendant la conduite, les interfaces visuelles restent discrètes. L’App SafetyNex est une implémenta3on à bas coût developpée par Nexyad. Mais c’est aussi un système de fusion de données auquel on peut ajouter d’autres capteurs (caméras, radar, lidars, ultrasons ...) et des données (météo, traffic rou'er, ...)
- 29. Ø U3lisa3ons référencées de SafetyNex Assurance Auto . Préven'on (conduite accompagnée, débutants, séniors professionnels, individuels, etc.) . UBI (profils de risque, profils d’usage) . Réduc'on des coûts (moins d’accidents, en par'culier moins de dommages corporels) + transforma'on de corporels en dommages matériels . Détec'on de l’u'lisa'on du smartphone en conduite Véhicule autonome . Donner une informa'on importante à l’intelligence ar'ficielle : sa prise de risque à chaque instant ! (si le risque est trop élevé >>> ralen'r) . Fusion de données et de capteurs (caméras, lidars, radars, ultrasons, météo, trafic, etc.) Direc3on de flode . Préven'on (coaching des conducteurs), acquisi'on de connaissances quant aux choix de conduite . Réduc'on des coûts (moins d’accidents, en par'culier moins de dommages corporels) + transforma'on de corporels en dommages matériels . Gamifica'on (concours de conduite sûre) . Suivre les régula'ons sociales et les lois en vigueur Système d’aide à la conduite (ADAS) . Déclenchement de freinage automa'que d’an'cipa'on pour ACC intelligent (prenant en compte la signalisa'on rou'ères, les intersec'ons, les virages, etc.) . Naviga'on intelligente avec alertes de risque . Fusion de données et de capteurs (caméras, lidars, radars, ultrasons, météo, trafic, etc.)
- 33. MAIS IL SE DÉGAGE DE SA RESPONSABILITÉ EN CAS DE TRANSFERT DE CETTE QUALITÉ DE CONDUCTEUR A UN TIERS……. Jurisprudence constante de la Cour de CassaJon : • la qualité de conducteur n’apparJent qu’a une seule personne et elle ne se partage pas ; • il peut effecJvement y avoir transfert de la qualité de conducteur, mais seulement dans sa totalité. (Cour de CassaJon - 23 mars 2017) ….. C’EST-À-DIRE EN CAS DE SUBSTITUTION PAR UN TIERS Ce^e subsJtuJon est le concept central du transfert de responsabilité.
- 35. • VOITURE À DÉLÉGATION PARTIELLE DE CONDUITE : la maîtrise des organes de direcMon (volant) et de ceux de propulsion (moteur et freins), est techniquement, réparJe entre l’Homme et le Machine : è APPORTER LA PREUVE DE L’ACTIVATION DU SYSTÈME D’AIDE A LA CONDUITE N’ENTRAINE NI SUBSTITUTION , NI TRANSFERT DE LA QUALITÉ DE CONDUCTEUR
- 36. En conséquence de ce DÉFAUT DE TRANSFERT DE LA QUALITÉ DE CONDUCTEUR (pour les VDPC) se pose alors la quesMon : - NON, DU TRANSFERT DE RESPONSABILITÉ, - MAIS, celle de LA CO-RESPONSABILITÉ, du P A R T A G E d e L ’ O B L I G A T I O N L’INDEMNISATION et de LA CHARGE DES RÉPARATIONS
- 37. ArJcle 1265 du projet de réforme de la responsabilité civile (formalise au sein du Code civil, les règles issues de la jurisprudence sur l’incidence de la pluralité de responsables) Lorsque plusieurs personnes sont responsables d’un même dommage, elles sont solidairement tenues à répara&on envers la vic&me. Si : - AUCUNE D’ELLES N’A COMMIS DE FAUTE, ELLES CONTRIBUENT À PROPORTION DU RÔLE CAUSAL DU FAIT GÉNÉRATEUR QUI LEUR EST IMPUTABLE, ou à défaut par parts égales. - TOUTES OU CERTAINES D’ENTRE ELLES ONT COMMIS UNE FAUTE, ELLES CONTRIBUENT ENTRE ELLES À PROPORTION DE LA GRAVITÉ ET DU RÔLE CAUSAL DU FAIT GÉNÉRATEUR QUI LEUR EST IMPUTABLE.
- 38. DANS LES DEUX CAS, IL FAUDRA « PROUVER » • dans les véhicules autonomes : preuve de l’ac&va&on du système de conduite automa&sé, emportant la subs&tu&on transfert total de responsabilité • dans les véhicules à déléga&on par&elle de conduite : preuve (1) des ac&ons de l’Homme d’une part et (2) celles de la machine de l’autre, afin de déterminer la gravité et le rôle causal du fait générateur qui leur est imputable à chacun et qui aura pour conséquence de déterminer la propor&on des répara&ons mises à leurs charges respec&ves. LE VÉRITABLE ENJEU, C’EST DONC LA PREUVE LA PREUVE EST LA PIERRE ANGULAIRE DU RÉGIME DE RESPONSABILITÉ
- 39. PAS DE PREUVE , PAS DE DROITS « actori Incumbit Proba1o » - La Preuve Incombe Au Demandeur « non Jus Deficit Sed Proba1o » - Ce N'est Pas Le Droit Qui Est Défaillant, Mais La Preuve » LA CHARGE DE LA PREUVE PÈSE, EN PREMIER LIEU SUR LA PERSONNE ASSISE DERRIÈRE LE VOLANT ET QUI, PRÉSUMÉE ÊTRE LE CONDUCTEUR, EST RÉPUTÉE AVOIR SEULE LA MAÎTRISE PERMANENTE DU VÉHICULE ET QUI ASSUME, PAR DÉFAUT, LES DOMMAGES CAUSÉS AUX TIERS. ELLE PEUT ( et doit) APPORTER LA PREUVE CONTRAIRE en DEMONTRANT : • SOIT LA DÉLÉGATION TOTALE • SOIT LA DÉLÉGATION PARTIELLE ET LE CARACTÈRE CAUSAL DE LA DÉFAILLANCE DES COMPOSANTS DU VÉHICULE.
- 40. LE RÔLE CENTRAL DES « BOITES NOIRES » Quels ouMls ? • BUS CAN, réseau interne au véhicule qui transmet les consignes entre les différents composants, est exploité de manière judiciaire qui enregistre en permanence ses principaux paramètres qui sont, dans l’état actuel, sous contrôle du conducteur : direc1on, vitesse, accéléra1on, décéléra1on, freinage, aver1sseurs de changement de direc1on ou éclairage. • EVENTS DATA RECORDER (EDR), enregistreurs des paramètres de conduite (dont le contenu est d’ores et déjà fixé a minima, aux États-Unis, pour les constructeurs qui l’embarque par le final ruling 49 CFR Part 563 ; • AUTOMOTIVE DIGITAL DATA RECORDER (ADDR), qui pourraient enregistrer beaucoup plus de données que le BUS CAN (ou même l’EDR) c’est-à-dire tous les événements influant sur la propulsion et la direc&on du véhicule intervenant pendant le trajet, qu’ils soient du fait de l’Homme ou de la machine.
- 41. UN ENJEU INDUSTRIEL DÉRIVÉ : LA SÉCURISATION DES DONNÉES PROBATOIRES ISSUES DES BOITES NOIRES LES DONNÉES À FINALITÉ PROBATOIRE (ISSUE DE L’ EDR/ADDR) SONT DONC LA CLÉ DU RÉGIME DES ACCIDENTS DE LA ROUTE POUR VÉHICULES DTPC LEUR SÉCURISATION EST UN FACTEUR CRITIQUE • des condi&ons de collecte, • des condi&ons de leur conserva&on, • des condi&ons de leur intégrité, • etc.…. Cf. le régime du « coffre fort électronique » C’EST ICI QUE LES EXPERTS EN CYBERSÉCURITÉ TROUVENT TOUTE LEUR PLACE … VOIRE UN « NOUVEAU MARCHÉ »
- 42. D’autres quesMons se posent à propos de ces données : • LocalisaJon des données : dans le véhicule ? Chez le fournisseur de l’ ADDR? Chez un Mers ? • Accès aux données : Qui pourra y accéder ? dans quelles condiMons ? • Traitement des données brutes : qui traitera ? dans quelles condiMons ? Véhicules connectés avec délégaMon de niveau 1, 2 ou 3, l’enjeu est d’importance puisque ce sont ces données qui conduiront: - SOIT À UNE CO-RESPONSABILITÉ DANS LA SURVENANCE DE L’ACCIDENT ET À UN PARTAGE DE LA CHARGE DE L’INDEMNISATION DANS DES PROPORTIONS À DÉTERMINER entre le conducteur et le fabricant du véhicule (et au fournisseur du composant défaillant) - SOIT À UN MAINTIEN OU À UN REPORT TOTAL DE LA RESPONSABILITÉ DU CONDUCTEUR SUR LE CONSTRUCTEUR ( en premier lieu et sur ses fournisseurs ou se prestataires éventuellement impliqués par voie d’appel en garanMe. )