FR3073483A1 - Dispositif electronique pour vehicule, systemes embarques et systeme informatique associes - Google Patents

Dispositif electronique pour vehicule, systemes embarques et systeme informatique associes Download PDF

Info

Publication number
FR3073483A1
FR3073483A1 FR1755519A FR1755519A FR3073483A1 FR 3073483 A1 FR3073483 A1 FR 3073483A1 FR 1755519 A FR1755519 A FR 1755519A FR 1755519 A FR1755519 A FR 1755519A FR 3073483 A1 FR3073483 A1 FR 3073483A1
Authority
FR
France
Prior art keywords
attack
information
vehicle
designed
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1755519A
Other languages
English (en)
Other versions
FR3073483B1 (fr
Inventor
Richard Denis
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Valeo Comfort and Driving Assistance SAS
Original Assignee
Valeo Comfort and Driving Assistance SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valeo Comfort and Driving Assistance SAS filed Critical Valeo Comfort and Driving Assistance SAS
Priority to FR1755519A priority Critical patent/FR3073483B1/fr
Publication of FR3073483A1 publication Critical patent/FR3073483A1/fr
Application granted granted Critical
Publication of FR3073483B1 publication Critical patent/FR3073483B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S19/00Satellite radio beacon positioning systems; Determining position, velocity or attitude using signals transmitted by such systems
    • G01S19/01Satellite radio beacon positioning systems transmitting time-stamped messages, e.g. GPS [Global Positioning System], GLONASS [Global Orbiting Navigation Satellite System] or GALILEO
    • G01S19/13Receivers
    • G01S19/14Receivers specially adapted for specific applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Traffic Control Systems (AREA)

Abstract

Un dispositif électronique (12) pour véhicule comprenant : - une unité de détection (20) d'une attaque informatique ; - un module de réception (28) d'une information de positionnement (P) d'une entité objet de l'attaque dans un référentiel ; - une unité de traitement (22) conçue pour commander la mémorisation, dans une unité de mémorisation (26), de données (A) indicatives de l'attaque informatique détectée en association avec l'information de positionnement (P) reçue. Des systèmes embarqués et un système informatique associés sont également décrits.

Description

Dispositif électronique pour véhicule, systèmes embarqués et système informatique associés
Domaine technique auquel se rapporte l'invention
La présente invention concerne les véhicules équipés de systèmes embarqués susceptibles de subir des attaques informatiques et la protection contre de telles attaques informatiques.
Elle concerne plus particulièrement un dispositif électronique pour véhicule, ainsi que des systèmes embarqués et un système informatique associés.
L’invention s’applique particulièrement avantageusement dans le cas où le véhicule est équipé d’un système de conduite autonome.
Arriere-plan technologique
Les véhicules (notamment les véhicules automobiles) utilisent de plus en plus fréquemment de nos jours des systèmes électroniques embarqués pour assurer des fonctionnalités variées pouvant aller jusqu’à la conduite autonome du véhicule.
De tels systèmes électroniques peuvent faire l’objet d’attaques informatiques dont on cherche à se protéger afin d’assurer un fonctionnement conforme et sûr du véhicule.
Objet de l’invention
Dans ce contexte, la présente invention propose un dispositif électronique pour véhicule comprenant une unité de détection d’une attaque informatique, un module de réception d’une information de positionnement d’une entité objet de l’attaque dans un référentiel et une unité de traitement conçue pour commander la mémorisation, dans une unité de mémorisation, de données indicatives de l’attaque informatique détectée en association avec l’information de positionnement reçue.
Comme expliqué ci-après, on peut réaliser sur cette base une cartographie des attaques informatiques présentes ou futures (en pratique : prédites) rencontrées par les véhicules, ce qui permet ensuite à ceux-ci d’adapter leur fonctionnement en chaque lieu (et de façon proactive, c’est-à-dire avant même que l’attaque survienne) en fonction du risque d’attaque informatique au lieu concerné.
L’unité de traitement peut être conçue pour émettre lesdites données indicatives en association avec ladite information de positionnement à destination d’un serveur distant, de sorte que ce serveur distant pourra effectuer des traitements pour construire la cartographie susmentionnée, comme expliqué plus loin.
L’unité de traitement peut par ailleurs être conçue pour émettre lesdites données indicatives (directement), éventuellement ici aussi en association avec ladite information de positionnement, à destination d’un autre dispositif électronique équipant par exemple un autre véhicule, une infrastructure routière ou un appareil électronique (porté typiquement par un piéton) et situé aux alentours. Cette transmission des données indicatives (et éventuellement d’autres données) peut être réalisée directement entre le véhicule équipé de l’unité de détection et l’autre dispositif électronique, par exemple au moyen d’une communication sans fil (telle qu’une communication sans fil utilisant par exemple la technologie ITS-G5 - WiFi IEEE 802.11 p - ou une communication 5G suivant les normes 3GPP).
L’unité de traitement peut d’ailleurs être conçue pour émettre lesdites données indicatives en association avec un identifiant de l’entité objet de l’attaque (par exemple un identifiant du véhicule objet de l’attaque), ce qui est intéressant en particulier si le dispositif électronique susmentionné (comprenant l’unité de détection) détecte une attaque informatique visant un autre véhicule (par exemple par observation de cet autre véhicule ou analyse de données reçues de cet autre véhicule, comme expliqué plus loin).
L’unité de détection peut produire en pratique un niveau de confiance associé à la détection de ladite attaque informatique ou un type associé à l’attaque informatique ou des informations ayant conduit à la détection ou une mesure de la capacité de détection associée à l’unité de détection (20) ou une description de l’impact de l’attaque informatique ou une information indicative du système ciblé par l’attaque. Ce niveau de confiance peut être mémorisé en association avec les données indicatives de l’attaque détectée ou émis en association avec ces données indicatives.
L’unité de détection peut produire en outre une période de temps et un niveau de probabilité associés à l’attaque.
L’entité objet de l’attaque peut être en pratique le véhicule équipé du dispositif électronique comprenant l’unité de détection. Dans ce cas notamment, l’invention propose un système embarqué comprenant un dispositif électronique comme défini ci-dessus et un dispositif de positionnement conçu pour délivrer ladite information de positionnement (cette information de positionnement étant alors relative au véhicule équipé du dispositif électronique).
L’invention propose par ailleurs un système informatique (par exemple un serveur distant vis-à-vis du véhicule) comprenant :
- une unité de communication apte à recevoir, en provenance de chacun d’une pluralité de véhicules, un premier bloc d’informations relatives à une attaque informatique détectée par le véhicule concerné et un second bloc d’informations de positionnement associées à cette attaque informatique (par exemple des informations de positionnement du véhicule lors de la détection de l’attaque informatique ou des informations de positionnement de l’entité objet de l’attaque, laquelle peut être externe au véhicule précité) ;
- une unité de mémorisation conçue pour mémoriser, pour chaque premier bloc d’informations reçu, des données indicatives de l’attaque concernée en association avec une information de localisation associée à l’attaque concernée.
Cette unité de mémorisation peut être par exemple l’équivalent d’une boite noire, destinée à journaliser tous les incidents et les informations permettant d’analyser les causes et circonstances d’un accident du véhicule (accidentologie) ou à départager les responsabilités entre le conducteur et le système de conduite autonome.
Cette unité de mémorisation peut être protégée contre les cyberattaques, les sabotages ou autres actes de malveillance cherchant à effacer ou falsifier les données stockées.
Par ailleurs, les données stockées par cette unité de mémorisation peuvent être utilisées en complément ou en redondance de celles stockées dans l’unité de mémorisation du dispositif électronique (embarqué dans le véhicule) décrit ci-dessus.
L’unité de communication peut recevoir en outre, pour chaque attaque informatique, une période de temps et/ou un niveau de confiance et/ou un niveau de probabilité de l’attaque concernée.
Ce système informatique peut comprendre en outre une unité centrale conçue pour commander la diffusion d’une cartographie incluant une pluralité d’ensembles de données indicatifs chacun d’une attaque (antérieure, présente ou future, c’est-à-dire prédite comme expliqué plus loin) en association avec, pour chaque ensemble, une information de localisation de l’attaque concernée.
Ce système informatique peut comprendre par ailleurs un module de prédiction d’au moins une attaque informatique dans une zone géographique associée sur la base des premiers et seconds blocs d’informations.
Ce système informatique peut également comprendre un module de localisation d’un attaquant en fonction d’une partie au moins desdits premiers et seconds blocs d’information.
L’invention propose enfin un système embarqué pour véhicule comprenant :
- une unité de communication apte à recevoir une pluralité d’informations indicatives d’attaques en association avec, pour chaque information indicative, une information de localisation de l’attaque concernée ;
- un module de réception d’au moins une information de positionnement (courant ou envisagé) du véhicule dans un référentiel ;
- une unité de décision conçue pour comparer l’information de positionnement reçue à chacune des informations de localisation reçues et pour commander une modification du fonctionnement du véhicule si l’information de positionnement reçue correspond à l’une des informations de localisation reçues.
L’unité de décision peut commander par exemple ladite modification en fonction de l’information indicative d’attaque associée (dans la cartographie) à l’information de localisation correspondant à l’information de positionnement reçue.
En pratique, l’unité de décision peut émettre une commande de changement de mode à destination d’un système de conduite autonome, par exemple afin que ce fonctionnement bascule dans un mode de fonctionnement sûr.
La modification susmentionnée peut comprendre par exemple un basculement d’une fonctionnalité du véhicule dans un mode de fonctionnement sûr ou dégradé et/ou l’inhibition d’au moins une action automatique.
Description detaillee d’un exemple de réalisation
La description qui va suivre en regard des dessins annexés, donnés à titre d’exemples non limitatifs, fera bien comprendre en quoi consiste l’invention et comment elle peut être réalisée.
Sur les dessins annexés :
- la figure 1 représente schématiquement un exemple de contexte de mise en œuvre de l’invention, impliquant notamment un véhicule ;
- la figure 2 représente certains éléments d’un système embarqué dans le véhicule ; et
- la figure 3 représente un exemple de procédé mis en œuvre dans le cadre de la figure 1.
La figure 1 représente un véhicule 10 qui emprunte une voie de circulation V, au voisinage de laquelle est située une station de base 40.
On décrit dans la suite seulement les éléments de ce véhicule 10 utile à la compréhension de l’invention.
Comme schématiquement représenté en figure 1, le contexte de mise en œuvre de l’invention peut en outre comprendre une entité 5 externe au véhicule 10 ; cette entité externe 5 est par exemple un autre véhicule, une infrastructure routière ou un appareil électronique (tel qu’un ordiphone) porté par un piéton.
Le véhicule 10 comprend une unité de commande 12, un module de communication sans fil 14, un système de navigation 16 et un système de conduite autonome 18.
L’unité de commande 12 (réalisée en pratique sous forme d’un dispositif électronique, par exemple un microcontrôleur ou, en variante, un ensemble de systèmes embarqués) est conçue pour gérer et coordonner le fonctionnement des autres équipements du véhicule, notamment comme décrit ci-après (en référence en particulier à la figure 2).
Le module de communication sans fil 14 est conçu pour établir des communications sans fil avec des stations de base rencontrées au cours du trajet du véhicule 10, notamment ici la station de base 40 précitée. Le module de communication sans fil 14 (ou éventuellement un autre module de communication sans fil dédié) peut en outre être conçu pour établir une communication (par exemple une communication sans fil) avec une autre entité, telle que l’entité externe 5.
Le système de navigation 16 comprend quant à lui notamment un système de positionnement qui délivre une information de positionnement P indicative de la position du véhicule 10 dans un référentiel (par exemple dans le référentiel terrestre).
Le système de conduite autonome 18 est conçu pour assurer le déplacement du véhicule 10 sans intervention de son conducteur. Pour ce faire, le système de conduite autonome commande des organes de conduite du véhicule 10 (par exemple un groupe motopropulseur et/ou un système de freinage et/ou un système de commande de direction) en fonction d’informations reçues de différents capteurs équipant le véhicule 10 et délivrant des données descriptives de l’environnement du véhicule 10.
Dans certains modes de réalisation, ces capteurs ou d’autres capteurs sont aptes à délivrer une information de positionnement de l’entité externe 5 susmentionnée. En variante, une telle information de positionnement de l’entité externe 5 pourrait être reçue en provenance de l’entité externe 5 elle-même, par exemple via la module de communication sans fil 14.
Par ailleurs, bien que le véhicule 10 décrit ici intègre un système de conduite autonome 18, l’invention s’applique également aux véhicules qui n’intègrent pas un tel système (mais qui peuvent intégrer en revanche un système d’aide à la conduite).
Comme déjà indiqué, la station de base 40 peut établir une communication sans fil avec le module de communication sans fil 14 du véhicule
10.
La station de base 40 est par ailleurs reliée via un réseau informatique 50 (qui inclut par exemple un réseau public tel que le réseau Internet) à un système informatique 30 formant un serveur distant pour le véhicule 10.
Grâce à ces différents moyens de communication, l’unité de commande 12 du véhicule 10 peut échanger des données avec le serveur distant 30, notamment comme expliqué ci-après en référence à la figure 3.
Le serveur distant 30 comprend notamment une unité de communication 34 reliée au réseau informatique 50 et ainsi apte à recevoir, en provenance de chacun d’une pluralité de véhicules (dont le véhicule 10) ou d’autres entités, un premier bloc d’informations relatives à une attaque informatique détectée par le véhicule concerné (ou l’entité concernée) et un second bloc d’informations de positionnement associées à l’attaque concernée (par exemples des informations de positionnement du véhicule lors de la détection de l’attaque informatique ou des informations de positionnement de l’entité objet de l’attaque, laquelle peut être externe au véhicule 10).
Le serveur distant 30 comprend par ailleurs une unité de mémorisation 36 qui mémorise, pour chaque premier bloc d’informations reçu, des données indicatives de l’attaque concernée en association avec une information de localisation associée à l’attaque concernée. L’unité de mémorisation 36 peut également mémoriser une période de validité et/ou un niveau de confiance et/ou un niveau de probabilité associés à l’attaque concernée. (Ces caractéristiques de l’attaque peuvent être reçues au sein d’un rapport R émis par un véhicule comme expliqué plus bas ou, en variante, pour certaines au moins, déterminées par le serveur distant 30.)
Le serveur distant 30 peut ainsi constituer une cartographie M des attaques détectées ou prédites, comme encore expliqué plus bas. Une telle cartographie M inclut par exemple une pluralité d’ensembles de données indicatifs chacun d’une attaque (antérieure ou prédite) en association avec, pour chaque ensemble, une information de localisation de l’attaque (antérieure ou prédite).
Le serveur distant 30 peut par ailleurs prédire les zones géographiques d’attaques futures (par exemple sur la base d’un historique des attaques antérieures détectées et de l’évolution spatiale de ces attaques détectées). Pour chaque zone géographique d’attaque future ainsi prédite, le serveur distant 30 peut déterminer une période de validité et/ou un niveau de probabilité et/ou un niveau de confiance associés.
La cartographie M peut inclure ces zones géographiques d’attaques futures.
Le serveur distant 30 peut également générer des recommandations sur le comportement à adopter par le véhicule situé dans la zone d’attaque.
Le serveur distant 30 peut également localiser un attaquant (responsable de l’attaque), par exemple par triangulation entre les positions de plusieurs attaques similaires (telles que des attaques de brouillage) signalées par différents véhicules (ou entités).
L’unité de mémorisation 36 peut être protégée contre les cyber-attaques, les sabotages ou autres actes de malveillance cherchant à effacer ou falsifier les données stockées. Par ailleurs, les données stockées par cette unité de mémorisation 36 peuvent être utilisées en complément ou en redondance de celles stockées dans une unité de mémorisation 26 (décrite plus bas) du dispositif électronique 20.
Le serveur distant 30 comprend enfin une unité centrale 32 qui commande régulièrement la diffusion de cette cartographie M, ici au moyen de l’unité de communication 34, à de nombreux véhicules (ainsi qu’éventuellement à d’autres entités. En variante, le cartographie M pourrait être diffusée par des moyens de communication autres que l’unité de communication 34, par exemple des moyens de communication par ondes radio.
La figure 2 représente plus en détail les éléments du système embarqué à bord du véhicule 10 utiles à la compréhension de l’invention.
Comme visible sur cette figure, l’unité de commande 12 comprend une unité de détection 20, une unité de traitement 22 et une unité de décision 24. Ces différentes unités 20, 22, 24 sont représentées sous forme fonctionnelle sur la figure 2 mais peuvent chacune en pratique être mises en oeuvre du fait de l’exécution d’instructions de programme d’ordinateur par un microprocesseur de l’unité de commande 12 ou, en variante, être réparties dans plusieurs systèmes embarqués.
L’unité de commande 12 comprend également une unité de mémorisation 26 (par exemple une mémoire à semi-conducteur ou, en variante, un disque dur) et un module de réception 28 de l’information de positionnement P produite par le système de navigation 16 comme déjà indiqué.
L’unité de mémorisation 26 peut être par exemple l’équivalent d’une boite noire, destinée à journaliser tous les incidents et les informations permettant d’analyser les causes et circonstances d’un accident du véhicule (accidentologie) ou à départager les responsabilités entre le conducteur et le système de conduite autonome.
L’unité de mémorisation 26 peut être protégée contre les cyber-attaques ou les sabotages ou autres actes de malveillance cherchant à effacer ou falsifier les données stockées. L’unité de mémorisation 26 peut en outre être conçue de manière à être résistante à un accident du véhicule 10.
Par ailleurs, les données stockées par cette unité de mémorisation 26 peuvent être utilisées en complément ou en redondance de celles stockées dans l’unité de mémorisation 36 du serveur distant 30.
L’unité de détection 20 est conçue pour détecter une éventuelle attaque informatique A au sein du véhicule 10 ou, en variante, au sein de l’autre entité 5 (par exemple comme déjà indiqué un autre véhicule empruntant la voie de circulation V).
L’unité de détection 20 détecte par exemple une attaque lorsque le niveau du signal électromagnétique reçu par le module de communication sans fil 14 ou par le système de navigation 16 est anormalement élevé (par exemple supérieur à 100 mW dans le cas d’un signal reçu en provenance d’un satellite de type GNSS et traité par le système de navigation 16), ou, en variante, lorsque le rapport signal-sur-bruit du signal électromagnétique reçu par le module de communication sans fil 14 ou par le système de navigation 16 est anormalement dégradé. On considère en effet dans ces deux cas que le système concerné (module de communication sans fil 14 ou système de navigation 16) est victime d’une attaque par brouillage du signal électromagnétique.
L’unité de détection 20 peut également détecter une attaque en cas d’échec lors de la vérification de la signature électronique associée à des données reçues.
Selon une variante déjà évoquée, l’unité de détection 20 peut détecter une attaque visant une autre entité 5 (par exemple un autre véhicule) que le véhicule 10. Une telle attaque est par exemple détectée en analysant un message reçu (par exemple via le module de communication sans fil 14) en provenance de cet autre véhicule et en relevant une anomalie dans ce message.
En cas de détection d’attaque, l’unité de détection 20 produit un identifiant A de l’attaque et un niveau de confiance associé à la détection (déterminé en fonction des données qui ont permis cette détection et des performances des équipements, tels que les capteurs, ayant détecté l’attaque).
L’unité de détection 20 peut également fournir le type de l’attaque et/ou les informations ayant conduit à la détection et/ou une mesure de la capacité de détection associée à l’unité de détection 20 et/ou une description de l’impact (possible) de l’attaque et/ou le système ciblé par l’attaque.
L’identifiant A de l’attaque et le niveau de confiance (ainsi qu’éventuellement les autres informations précitées) sont transmis à l’unité de traitement 22, qui reçoit également l’information de positionnement P courante via le module de réception 28.
Dans le cas où l’attaque informatique détectée vise l’autre entité 5, l’unité de traitement 22 reçoit l’information de positionnement de cette autre entité 5, par exemple sur la base d’informations délivrées par des capteurs du véhicule 10 ou d’informations reçues de l’autre entité 5, comme déjà expliqué plus haut.
L’unité de traitement 22 est conçue pour commander la mémorisation, dans l’unité de mémorisation 26, de l’identifiant A de l’attaque détectée en association avec l’information de positionnement susmentionnée, par exemple l’information de positionnement P courante (avec éventuellement le niveau de confiance susmentionné) ou, en variante, l’information de positionnement de l’entité externe 5 (lorsque cette entité externe 5 fait l’objet de l’attaque informatique détectée).
L’unité de commande 12 (ici précisément l’unité de traitement 22) est par ailleurs conçue pour commander l’émission d’un rapport R via le module de communication sans fil 14 et à destination du serveur distant 30. Ce rapport R contient certains au moins des éléments qui suivent :
- l’identifiant A de l’attaque détectée ;
- le niveau de confiance associé à la détection ;
- l’information de positionnement de l’entité objet de l’attaque, par exemple l’information de positionnement P au moment de la détection ou l’information de positionnement de l’entité externe 5, le cas échéant ;
- les informations ayant conduit à la détection (par exemple le niveau de signal électromagnétique mesuré ou les données signées par une signature électronique erronée) ou preuve de l’attaque ;
- une mesure de la capacité de détection associée à l’unité de détection 20 ;
- le type de l’attaque détectée (par exemple : déni de service par brouillage du signal électromagnétique) ;
- le système ciblé par l’attaque (par exemple : système de navigation 16) ;
- une description de l’impact (possible) de l’attaque ;
- une durée probable et/ou un niveau de probabilité (éventuellement variable dans le temps) associés à l’attaque ;
- un identifiant du véhicule (ou de l’entité) objet de l’attaque (en particulier dans la variante mentionnée ci-dessus où l’attaque détectée vise un autre véhicule que le véhicule 10 au sein duquel l’attaque est détectée).
Selon une variante envisageable, l’unité de commande 12 peut commander l’émission (via le module de communication sans fil 14) d’un tel rapport R à destination d’autres véhicules, des infrastructures routières ou des appareils électroniques (portés typiquement par des piétons) situés aux alentours. Cette transmission des données indicatives (et éventuellement d’autres données) peut être réalisée directement entre l’unité de commande 12 et l’entité externe 5, par exemple au moyen d’une communication sans fil (telle qu’une communication sans fil utilisant par exemple la technologie ITS-G5 - WiFi IEEE 802.11p - ou une communication 5G suivant les normes 3GPP).
L’unité de décision 24 compare l’information de positionnement P courante (ou les informations de positions envisagées pour le véhicule 10, par exemple dans le cadre d’un trajet programmé sur le système de navigation 16) à une pluralité d’informations de localisation reçues via le module de communication sans fil 14 (au sein d’une cartographie M d’attaques antérieures ou prédites, comme expliqué plus loin).
Comme expliqué dans l’exemple de la figure 3, l’unité de décision 24 peut alors émettre une commande C de modification du fonctionnement du véhicule 10 (ici une commande de changement de mode de conduite autonome) si l’information de positionnement P courante (ou une des informations de positions envisagées) correspond à l’une des informations de localisation reçues au sein de la cartographie M.
De manière générale, l’unité de décision 24 commande la mise en œuvre d’une action de protection contre la ou les attaque(s) concernée(s).
Cette action de protection (mise en œuvre par exemple conformément à la recommandation de comportement à adopter dans la zone d’attaque, telle que déterminée par le serveur distant 30 comme indiqué plus haut et indiqué dans la cartographie M) comprend par exemple une ou plusieurs des actions suivantes :
- basculement d’une fonctionnalité du véhicule (par exemple une fonctionnalité de conduite autonome) dans un mode de fonctionnement sûr (ou dans un mode de fonctionnement dégradé), ce basculement pouvant inclure une réduction de la vitesse du véhicule 10 et/ou une augmentation des distances de sécurité du véhicule 10 en mode de conduite autonome ;
- inhibition d’actions automatiques, par exemple désactivation du système de freinage d’urgence automatique ;
- changement d’itinéraire du véhicule 10 ;
- émission d’un message ou d’un signal d’avertissement à l’intérieur du véhicule (message destiné au conducteur du véhicule et/ou à un passager du véhicule), par exemple pour prévenir qu’un service (tel que conduite autonome et/ou régulateur de vitesse automatique) ne sera pas disponible dans une certaine zone géographique.
La figure 3 représente un exemple de procédé mis en œuvre dans le contexte qui vient d’être décrit.
Ce procédé débute à l’étape E2 par la détection d’une attaque informatique par l’unité de détection 20, par exemple selon l’une des possibilités décrites ci-dessus.
Du fait de cette détection, l’unité de détection 20 transmet à l’unité de traitement 22 l’identifiant A de l’attaque informatique détectée et, ici, le niveau de confiance associé à cette détection.
L’unité de traitement 22 peut ainsi commander à l’étape E4 la mémorisation, dans l’unité de mémorisation 26, de l’identifiant A en association avec l’information de positionnement P couramment reçue par le module de réception 28 (en provenance du système de navigation 16) et, ici, avec le niveau de confiance susmentionné.
Dans les modes de réalisation déjà mentionnés où l’entité objet de l’attaque n’est pas le véhicule 10 mais une entité externe 5, l’identifiant A est mémorisé en association avec une information de positionnement de cette entité externe 5 (reçue de l’entité externe 5 ou déterminée au sein du véhicule 10 comme déjà indiqué).
L’unité de commande 12 commande par ailleurs l’émission (par le module de communication sans fil 14) du rapport R déjà mentionné à destination du serveur distant 30 (étape E6) ou, en variante, à des dispositif électroniques situés aux alentours (un tel dispositif électronique équipant typiquement un autre véhicule ou une infrastructure routière, ou étant porté par un piéton). Ce rapport R contient certaines données comme déjà indiqué, en particulier l’identifiant A de l’attaque détectée et l’information de positionnement P reçue du système de navigation 16 lors de la détection de cette attaque.
Le serveur distant 30 reçoit ainsi le rapport R (via la station de base 40 et le réseau informatique 50) à l’étape E8.
L’unité centrale 32 du serveur distant 30 peut ainsi analyser le rapport R, en particulier l’identifiant A de l’attaque détectée et l’information de positionnement P associée, puis commander la mémorisation, dans l’unité de mémorisation 36, de données indicatives de cette attaque en association avec une information de localisation associée à cette attaque (étape E10).
Dans certains modes de réalisation, les données indicatives de l’attaque et l’information de localisation pourraient respectivement être identiques à l’identifiant A et à l’information de positionnement P contenus dans le rapport R.
Dans d’autres modes de réalisation, les données indicatives de l’attaque peuvent toutefois être différentes de l’identifiant A (par exemple si la classification utilisée au sein du serveur distant 30 diffère de celle utilisée par le véhicule 10) et/ou l’information de localisation peut être différente de l’information de positionnement P (par exemple si le serveur distant 30 utilise une localisation sur une voie de circulation donnée tandis que l’information de positionnement P est exprimée sous forme de coordonnées géographiques).
Les étapes E8 et E10 qui vient d’être décrites sont réalisée en pratique pour tout véhicule participant au système qui détecte une attaque et émet un rapport relatif à cette attaque à destination du serveur distant 30.
Le serveur distant 30 mémorise ainsi, au moyen de l’unité de mémorisation 36, une pluralité d’ensembles de données indicatifs chacun d’une attaque antérieure en association avec, pour chaque ensemble, une information de localisation de l’attaque antérieure (étape E12). Ces ensembles de données et ces informations de localisation associées forment une cartographie M des attaques antérieurement détectées par l’ensemble des véhicules participant au système.
Selon une possibilité de mise en œuvre déjà mentionnée, le serveur distant 30 peut (en variante ou en complément) prédire (sur la base des données mentionnées plus haut) les attaques futures (et leur localisation) et construire ainsi une cartographie des attaques prédites (i.e. futures). Pour ce faire, le serveur distant 30 peut extrapoler les évolutions au cours du temps des attaques détectées par les différents véhicules qui ont transmis au serveur distant 30 les informations susmentionnées (information indicative d’une attaque et information de positionnement associée).
Le serveur distant 30 peut également générer une recommandation de comportement à adopter par le véhicule (ou entre entité) se trouvant dans la zone d’une attaque (par exemple : désactiver le système de conduite autonome, passer dans un mode dégradé n’utilisant pas le signal émis par les satellites GNSS, etc.).
L’unité centrale 32 peut ainsi commander régulièrement (par exemple périodiquement) la diffusion de la cartographie M à destination d’une partie au moins de ces véhicules (étape E14). Pour ce faire, l’unité centrale 32 commande par exemple notamment l’émission, par l’unité de communication 34, de la cartographie M à destination du véhicule 10 (via le réseau informatique 50 et la station de base 40 ou, si le véhicule s’est déplacé, une autre station de base du réseau cellulaire concerné).
Selon une possibilité de réalisation, la cartographie M peut inclure en outre, pour chaque attaque répertoriée, une information relative à la période de validité estimée pour l’attaque concernée et/ou une recommandation de comportement à adopter par le véhicule 10 (ou toute autre entité) se trouvant dans la zone d’une attaque (par exemple : désactiver le système de conduite autonome, passer dans un mode dégradé n’utilisant pas le signal émis par les satellites GNSS, etc.).
Le véhicule 10 reçoit la cartographie M à l’étape E16. En particulier, comme représenté en figure 2, la cartographie M est reçue par l’unité de décision 24. On remarque que le véhicule 10 pourrait (en variante ou en outre) utiliser les rapports reçus directement d’autres véhicules ou infrastructures routières et qui contiennent également des informations de positionnement associées à des informations indicatives d’une attaque.
L’unité de décision 24 peut alors comparer l’information de positionnement P (reçue à ce moment en provenance du système de navigation 16) à la pluralité d’informations de localisation contenues dans la cartographie M (étape E18). Comme déjà indiqué, on peut prévoir également que l’unité de décision 24 tienne compte des positions envisagées du véhicule 10 au cours d’un trajet (typiquement planifié dans le système de navigation 16) et compare donc également les informations de positionnement relatives à ce trajet aux informations de localisation contenues dans la cartographie M.
Si une information de positionnement P courante (ou une information de positionnement envisagé) correspond à l’une des informations de localisation de la cartographie M (ce qui indique qu’une attaque informatique a été détectée au préalable dans le lieu où est située le véhicule 10 ou, selon une possibilité mentionnée plus haut, est prédite dans ce lieu), l’unité de comparaison émet une commande C de protection contre les attaques, par exemple une commande de modification du fonctionnement du véhicule 10, telle qu’une commande de changement de mode de conduite autonome à destination du système de conduite autonome 18.
Dans le cas où une information relative à la durée de validité de l’attaque concernée est incluse dans la cartographie, l’unité de décision 24 vérifie en outre (sur la base de cette information relative à la durée de validité) que cette durée de validité n’est pas dépassée (de manière à ne déclencher une action de protection que si cette durée de validité n’est pas dépassée).
Cette commande C entraîne par exemple le basculement du système de conduite autonome 18 dans un mode de fonctionnement sûr, par exemple un mode de fonctionnement dans lequel le conducteur reprend en main la conduite du véhicule ou, en cas d’indisponibilité du conducteur, le véhicule se stationne dans un lieu sûr. Cette commande C peut en variante (ou en outre) entraîner un changement d’itinéraire suivi par le véhicule 10 afin d’éviter la zone de l’attaque 10.
Par ailleurs, cette commande C peut éventuellement être mise en œuvre en conformité avec la recommandation de comportement susmentionnée (selon la zone d’attaque), indiquée dans la cartographie M.
Selon une mise en œuvre envisageable, la commande C de changement de mode émise par l’unité centrale 12 dépend des données indicatives de l’attaque associées à l’information de localisation correspondant à l’information de positionnement P courante. Ainsi, le nouveau mode de fonctionnement du véhicule 10 peut être déterminé en fonction de ces données indicatives de l’attaque antérieure ou prédite (c’est-à-dire par exemple en fonction du type d’attaque antérieurement détecté dans le lieu où est situé le véhicule 10).
Par exemple, si les données indicatives de l’attaque antérieure ou prédite indiquent une attaque du système de navigation 16, l’unité centrale 12 peut interdire l’utilisation des données produites par le système de navigation 16 au sein du système embarqué. Le véhicule 10 bascule alors dans un mode de fonctionnement dégradé dans lequel aucune information émise par le système de navigation n’est utilisée.
On remarque que l’on a décrit ici par mesure de simplification l’ensemble des étapes E2 à E18 pour le même véhicule 10. En pratique, les étapes E12 à E18 (et, pour un véhicule, les seules étapes E16 et 18) peuvent toutefois être réalisées indépendamment des étapes antérieures. Autrement, un véhicule peut recevoir la cartographie M et utiliser celle-ci sans avoir nécessairement au 5 préalable produit et émis un rapport R à destination du serveur distant.

Claims (15)

  1. REVENDICATIONS
    1. Dispositif électronique (12) pour véhicule (10) comprenant :
    - une unité de détection (20) d’une attaque informatique ;
    - un module de réception (28) d’une information de positionnement (P) d’une entité objet de l’attaque (10) dans un référentiel ;
    - une unité de traitement (22) conçue pour commander la mémorisation, dans une unité de mémorisation (26), de données (A) indicatives de l’attaque informatique détectée en association avec l’information de positionnement (P) reçue.
  2. 2. Dispositif électronique selon la revendication 1, dans lequel l’unité de traitement (22) est conçue pour émettre lesdites données indicatives (A) en association avec ladite information de positionnement (P) à destination d’un serveur distant.
  3. 3. Dispositif électronique selon la revendication 1, dans lequel l’unité de traitement (22) est conçue pour émettre lesdites données indicatives (A) en association avec ladite information de positionnement (P) à destination d’un autre dispositif électronique.
  4. 4. Dispositif électronique selon l’une des revendications 1 à 3, dans lequel l’unité de traitement (22) est conçue pour émettre lesdites données indicatives (A) en association avec un identifiant de l’entité objet de l’attaque.
  5. 5. Dispositif électronique selon l’une des revendications 1 à 4, dans lequel l’unité de détection (20) est conçue pour produire un niveau de confiance associé à la détection de ladite attaque informatique ou un type associé à l’attaque informatique ou des informations ayant conduit à la détection ou une mesure de la capacité de détection associée à l’unité de détection (20) ou une description de l’impact de l’attaque informatique ou une information indicative du système ciblé par l’attaque.
  6. 6. Système embarqué comprenant un dispositif électronique (12) selon l’une des revendications 1 à 5 et un dispositif de positionnement (16) conçu pour délivrer ladite information de positionnement (P).
  7. 7. Système informatique (30) comprenant :
    - une unité de communication (34) apte à recevoir, en provenance de chacun d’une pluralité de véhicules, un premier bloc d’informations relatives à une attaque informatique détectée par le véhicule concerné et un second bloc d’informations de positionnement associées à cette attaque informatique ;
    - une unité de mémorisation (36) conçue pour mémoriser, pour chaque premier bloc d’informations reçu, des données indicatives de l’attaque concernée en association avec une information de localisation associée à l’attaque concernée.
  8. 8. Système informatique selon la revendication 7, comprenant une unité centrale (32) conçue pour commander la diffusion d’une cartographie (M) incluant une pluralité d’ensembles de données indicatifs chacun d’une attaque en association avec, pour chaque ensemble, une information de localisation de l’attaque concernée.
  9. 9. Système informatique selon la revendication 7 ou 8, comprenant un module de prédiction d’au moins une attaque informatique dans une zone géographique associée sur la base des premiers et seconds blocs d’informations.
  10. 10. Système informatique selon l’une des revendications 7 à 9, comprenant un module de localisation d’un attaquant en fonction d’une partie au moins desdits premiers et seconds blocs d’information.
  11. 11. Système embarqué pour véhicule comprenant :
    - une unité de communication (14) apte à recevoir une pluralité d’informations indicatives d’attaques en association avec, pour chaque information indicative, une information de localisation de l’attaque concernée ;
    - un module de réception (28) d’au moins une information de positionnement (P) du véhicule dans un référentiel ;
    - une unité de décision (24) conçue pour comparer l’information de positionnement (P) reçue à chacune des informations de localisation reçues et pour commander une modification du fonctionnement du véhicule (10) si l’information de positionnement (P) reçue correspond à l’une des informations de localisation reçues.
  12. 12. Système embarqué selon la revendication 11, dans lequel l’unité de décision (24) est conçue pour commander ladite modification en fonction de l’information indicative d’attaque associée à l’information de localisation correspondant à l’information de positionnement (P) reçue.
  13. 13. Système embarqué selon l’une des revendications 11 et 12, dans lequel l’unité de décision (24) est conçue pour émettre une commande (C) de changement de mode à destination d’un système de conduite autonome (18).
  14. 14. Système embarqué selon l’une des revendications 11 à 13, dans lequel ladite modification comprend un basculement d’une fonctionnalité du véhicule dans un mode de fonctionnement sûr ou dégradé.
  15. 15. Système embarqué selon l’une des revendications 11 à 14, dans lequel ladite modification comprend l’inhibition d’au moins une action automatique.
FR1755519A 2017-06-16 2017-06-16 Dispositif electronique pour vehicule, systemes embarques et systeme informatique associes Active FR3073483B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1755519A FR3073483B1 (fr) 2017-06-16 2017-06-16 Dispositif electronique pour vehicule, systemes embarques et systeme informatique associes

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1755519 2017-06-16
FR1755519A FR3073483B1 (fr) 2017-06-16 2017-06-16 Dispositif electronique pour vehicule, systemes embarques et systeme informatique associes

Publications (2)

Publication Number Publication Date
FR3073483A1 true FR3073483A1 (fr) 2019-05-17
FR3073483B1 FR3073483B1 (fr) 2021-07-02

Family

ID=59746121

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1755519A Active FR3073483B1 (fr) 2017-06-16 2017-06-16 Dispositif electronique pour vehicule, systemes embarques et systeme informatique associes

Country Status (1)

Country Link
FR (1) FR3073483B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130305369A1 (en) * 2012-05-14 2013-11-14 Zimperium Detection of threats to networks, based on geographic location
EP3002610A2 (fr) * 2014-10-03 2016-04-06 The Mitre Corporation Détection d'anomalies de système satellitaire
US9560071B2 (en) * 2012-10-17 2017-01-31 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130305369A1 (en) * 2012-05-14 2013-11-14 Zimperium Detection of threats to networks, based on geographic location
US9560071B2 (en) * 2012-10-17 2017-01-31 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle
EP3002610A2 (fr) * 2014-10-03 2016-04-06 The Mitre Corporation Détection d'anomalies de système satellitaire

Also Published As

Publication number Publication date
FR3073483B1 (fr) 2021-07-02

Similar Documents

Publication Publication Date Title
EP2922040B1 (fr) Pilotage de vehicules en convoi
US9200902B2 (en) Method of processing global navigation satellite system data
CN110737688B (zh) 驾驶数据分析方法、装置、电子设备和计算机存储介质
EP2691789B1 (fr) Systeme de positionnement avec mecanisme de detection de fraude pour application critique
US9886855B2 (en) Systems and methods for monitoring a parking space
US20100271196A1 (en) Systems and methods for determining a speed limit violation
FR2997364A1 (fr) Procede et dispositif de detection d'une irregularite de chaussee
JP2005333637A (ja) 信号の改ざんを検出する為のシステム及び方法
EP3716097A1 (fr) Procédé d'acquisition de données capturées par un module de capture embarqué dans un engin mobile suivant une trajectoire prédéterminée, programme d'ordinateur et dispositif correspondants
EP3518067A1 (fr) Procédé et dispositif électronique de contrôle de la vitesse d'un véhicule autonome, programme d'ordinateur, véhicule autonome et plateforme de supervision associés
WO2020016150A1 (fr) Procédé de localisation d'un véhicule
EP2584378B1 (fr) Procédé et système de détection de fraude d'informations de position d'un dispositif mobile
FR2979433B1 (fr) Procede et systeme de detection de fraude d'informations de position d'un dispositif mobile
CN108631892B (zh) 检测车辆处的卫星无线电广播干扰的方法
FR3073483A1 (fr) Dispositif electronique pour vehicule, systemes embarques et systeme informatique associes
FR3067998B1 (fr) Systeme pour la certification de troncons de route adaptes a la conduite autonome
JP2007106309A (ja) 車両用セキュリティシステム及び車載装置
EP2203022A1 (fr) Procédé et système d'authentification d'informations de position reportées par un dispositif mobile
FR3100651A1 (fr) Procédé et dispositif de détection d’un objet pour véhicule
FR3047217B1 (fr) Dispositif de determination de l'etat d'un feu de signalisation, systeme embatque comprenant un tel dispositif, vehicule comprenant un tel systeme et procede de determination associe
FR3052727A1 (fr) Procede de determination d'une classe de conduite de reference
WO2019170863A1 (fr) Procede de detection d'anomalie dans la perception par un vehicule automobile de son environnement
WO2009106780A2 (fr) Detection et referencement d'elements de parcours
US20240129295A1 (en) Attribute Verification To Enable Destination
WO2022096196A1 (fr) Module d'assistance à la conduite pour véhicule automobile

Legal Events

Date Code Title Description
PLSC Publication of the preliminary search report

Effective date: 20190517

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7