Les réseaux CAN, qui sont aujourd’hui mis en œuvre dans toutes les automobiles pour connecter les unités de contrôle/commande électroniques (ECU), devraient rester la technologie dominante pour les communications au sein d’un véhicule pendant encore une bonne décennie. ...C’est tout du moins l’opinion de NXP qui estime que la quantité de données échangées en temps réel sur les réseaux CAN ne fera qu’augmenter au fur et à mesure que le contenu électronique des véhicules continue de s’étoffer. Mais si la technologie CAN permet de constituer des réseaux point à multipoint robustes, la plupart des communications qui transitent dans une automobile ne sont pas sécurisées, et une unique ECU compromise peut accéder à l’ensemble des ECU connectées, constate la société de semi-conducteurs.
Il existe bien des solutions de sécurité sur le marché mais elles protègent les communications CAN avec un code d’authentification de message (MAC) reposant sur un chiffrement et une gestion de clés de cryptographie complexe, un mécanisme qui accroît la charge du bus CAN, grève sa latence et augmente la consommation électrique, assure NXP. Dès lors, les conceptions d’ECU existantes ne peuvent pas être aisément mises à jour pour prendre en charge des messages CAN sécurisés si elles ne disposent pas de la puissance de calcul nécessaire.
Pour contourner cet état de fait, NXP lance une nouvelle famille de circuits émetteurs/récepteurs CAN censés assurer la sécurisation des communications CAN sans recours au chiffrement ou à des logiciels consommateurs de puissance CPU. Cette approche peut s’utiliser telle quelle ou venir compléter des solutions de sécurité reposant sur la cryptographie en tant que couche additionnelle au sein d’une conception Defense-in-Depth (DiD), ajoute la société batave.
Les émetteurs/récepteurs CAN sécurisés de NXP s’appuient sur quatre mécanismes de protection. La prévention d’usurpation d’identité à l’émission protège le bus CAN d’une ECU compromise en filtrant les messages selon leur identifiant. Si l’ECU tente d’envoyer un message avec une ID qui ne lui a pas été assignée à l’origine, l’émetteur/récepteur peut refuser sa transmission. De même, la prévention d’usurpation d’identité à la réception peut invalider les messages reçus sur le bus. Selon NXP, cette méthode signifie que chaque ECU a la capacité de protéger ses propres identifiants au cas où une ECU scélérate cherche à envoyer un message avec la même ID. De plus l‘invalidation des messages sur le bus CAN peut être utilisée pour éviter le piratage, envoyant de ce fait un signe clair qu’une ECU compromise s’est insérée dans la transmission. Enfin, il est possible de limiter le nombre de messages envoyés par une ECU au niveau de l’émetteur à n’importe quel moment, afin d’empêcher les tentatives de saturation du bus par flooding tout en laissant l’accès au bus pour certaines tâches critiques.