Le fournisseur de systèmes de test et mesure Keysight et l'allemand Etas, filiale du groupe Bosch qui conçoit des briques logicielles et des outils de développement pour le marché automobile, vont travailler ensemble afin de fournir aux constructeurs et équipementiers automobiles une solution complète de cybersécurité.
Pour y parvenir, le logiciel de test Escrypt CycurFUZZ d’Etas sera désormais intégré à la plateforme de test de cybersécurité automobile de Keysight. Une solution qui a pour ambition de permettre aux constructeurs automobiles et à leurs fournisseurs de se conformer aux réglementations internationales en matière de cybersécurité.
Lancé sur le marché l’année dernière, l’outil de fuzzing Escrypt CycurFUZZ permet de vérifier et d'améliorer la qualité logicielle et la robustesse de la cybersécurité d’un code. Le fuzzing est devenu une méthode de test établie dans l'industrie automobile et est explicitement recommandé dans la norme ISO/SAE 21434 pour valider la robustesse et la cyberrésilience des équipements des véhicules et pour détecter les vulnérabilités à un stade précoce de la conception.
Cette approche repose sur la mise en place de test à données aléatoires, l’idée étant d'injecter ces données aléatoires (invalides, mal formattées, inattendues…) dans les entrées d'un programme (fichiers périphériques, variables d'environnement, données sur le réseau…) et de voir si le programme dysfonctionne en générant une erreur. Selon Escrypt, l’outil CycurFUZZ découvre ainsi entre 66% et 600% de vulnérabilités supplémentaires liées à la sécurité dans les logiciels embarqués dans les voitures par rapport aux autres outils de test traditionnels, car il est strictement conforme aux spécifications de l'automobile.
En intégrant Escrypt CycurFUZZ dans la solution de cybersécurité automobile de Keysight, les constructeurs peuvent ainsi, selon la société, tester rapidement des cibles à travers une interface réseau de contrôleur sur un bus CAN. Dans ce cadre l'outil CycurFUZZ fournit une approche dite "intelligente" pour réaliser le fuzzing du bus CAN au niveau d'un module ou d'un système plus large. Ce qui procure un moyen efficace d’analyser automatiquement le bus CAN automobile vis-à-vis d'un système testé pour rechercher des vulnérabilités inconnues et découvrir d'éventuelles faiblesses logicielles.
Pour rappel, la solution de cybersécurité automobile de Keysight a pour objet de tester automatiquement toutes les couches de la pile d'intercommunication des systèmes ouverts pour les interfaces embarquées, notamment les connexions Wi-Fi, les connexions cellulaires, le Bluetooth, le bus CAN et l’Ethernet automobile, afin de valider la robustesse des unités de commande électroniques (ECU) embarquées dans les véhicules, ains que les unités de commande télématiques (TCU) utilisées. L’idée étant de suivre au plus près les exigences éditées au niveau international en matière de cybersécurité, au sein de normes comme l’UN R-155 et l'ISO/SAE 21434.
