Études de cas

L'ASRG milite pour la sécurité des logiciels automobiles

Publié le 01 janvier 2021

Tournament Couple : Les efforts de l'ASRG en faveur de la sécurité des logiciels automobiles

Le groupe de recherche sur la sécurité automobile est une organisation à but non lucratif qui se consacre à la sensibilisation et au soutien du développement de la sécurité pour l'industrie automobile, en mettant l'accent sur la recherche et la promotion de solutions qui rendent les produits automobiles plus sûrs et plus sécurisés. À l'heure actuelle, cette industrie est en train de changer et de vivre la prochaine révolution des véhicules connectés, autonomes, partagés, électrifiés et définis par logiciel. Alors que nous nous dirigeons vers ce nouveau monde technologique pour l'industrie, avec une énorme dépendance croissante sur les logiciels alimentant les véhicules et les applications de l'écosystème, des organisations comme l'ASRG jouent un rôle clé en attirant l'attention sur la sécurité des logiciels dans l'industrie automobile et en la défendant.

Cette prise de conscience, et surtout l'action des constructeurs, seront cruciales car les vecteurs d'attaque potentiels et le risque cybernétique augmentent avec l'adoption croissante des nouvelles technologies automobiles sur le marché des consommateurs. Le FBI a récemment mis en garde contre les attaquants qui ciblent l'industrie automobile américaine, la grande majorité des brèches étant dues à des données sensibles non cryptées. Cette situation, qui s'ajoute à des attaques telles que le forçage brutal de bases de données mal configurées, pourrait avoir des conséquences considérables et potentiellement mortelles. Dans le cadre de ses recherches sur les solutions et les outils qui contribuent à façonner et à faire respecter les normes de sécurité logicielle dans les produits automobiles, l'équipe de l'ASRG a testé la plateforme Secure Code Warrior, à savoir la fonction Tournaments . Conçue pour faire participer les développeurs à une compétition amicale et ludique, les sensibiliser à la sécurité et les aider à perfectionner leurs compétences en matière de codage sécurisé, l'ASRG a cherché à savoir comment Secure Code Warrior pouvait susciter l'intérêt des développeurs pour la sécurité, leur enseigner les compétences nécessaires pour éliminer les vulnérabilités courantes qui affectent les logiciels automobiles et ouvrent la voie à des risques inacceptables.

Faisons la lumière sur l'état l'état de l'industrie, les problèmes immédiats immédiates auxquelles nous devons faire face, et les statistiques réelles de centaines de défis joués sur la plateforme Secure Code Warrior.

Quels sont les vecteurs d'attaque typiques des logiciels automobiles ?

Lorsque l'on analyse les possibilités d'accès des pirates aux logiciels automobiles, il existe de nombreuses possibilités, comme le montre le rapport détaillé d rapport complet d'Allot.

Même s'ils sont sensibilisés à la sécurité, les développeurs ne peuvent pas se défendre contre toutes ces menaces (et il ne faut pas s'attendre à ce qu'ils le fassent - les spécialistes de l'AppSec existent pour une bonne raison !

→ Interface web et API mobiles
Des applications web et des API exploitables peuvent permettre à un pirate d'accéder à des informations d'identification sensibles, et quelque chose d'aussi simple qu'une mauvaise configuration de la sécurité ou une vulnérabilité de la logique commerciale peut conduire à une violation importante de la vie privée - ou du moins, à la transmission de plus d'informations que prévu entre les logiciels - au sein des applications connectées.

→ Applications mobiles
Nous sommes nombreux à apprécier le confort moderne de la connectivité automobile via une interface embarquée. Cependant, une attaque malveillante est possible si une vulnérabilité permet un accès involontaire à quelque chose d'aussi simple que la radio. L'inclusion de fichiers à distance permettrait de diffuser des logiciels malveillants dans les applications multimédias embarquées.

→ Injection de code sur les systèmes de divertissement
Sur un système exploitable, un pirate peut potentiellement créer des fichiers multimédias qui peuvent modifier le code à l'intérieur du système. Cela ouvre des voies pour exploiter, et même contrôler à distance, d'autres parties des véhicules connectés.

→ Médias sans fil
Les acteurs de la menace peuvent s'attaquer aux vulnérabilités des canaux sans fil tels que Bluetooth ou Wi-Fi, ce qui permet de contourner les privilèges administratifs.

→ Interfaces de capteurs externes
Les acteurs de la menace peuvent falsifier les capteurs externes et forcer le véhicule à prendre des mesures non souhaitées.

→ Entrée par clé sans fil
Les applications vulnérables peuvent être utilisées pour exploiter l'entrée de clé sans fil, les attaquants pouvant utiliser un pont proxy entre la clé et l'automobile, ce qui leur donne la possibilité de verrouiller ou d'ouvrir l'automobile à volonté. Cela a déjà été prouvé lors d'attaques sur plusieurs véhicules.

→ Accès à un dispositif externe via le port OBD-II
Accès potentiel aux systèmes internes du véhicule.

Attaques contre le service en nuage du fournisseur automobile
Une infrastructure en nuage vulnérable - même quelque chose d'aussi simple qu'une mauvaise configuration - pourrait potentiellement permettre à un acteur de menace d'attaquer de nombreux véhicules connectés à la fois.

Il existe de nombreuses portes dérobées courantes que les ingénieurs avisés peuvent fermer dans leur code avant qu'elles ne deviennent un problème sérieux

Quelle est la gravité de la situation d'un véhicule compromis ?

Il est assez évident pour le commun des mortels que la plupart des véhicules ne sont pas sûrs à 100 % et qu'un élément de risque est pris lorsqu'on les utilise. Les dysfonctionnements des véhicules à moteur, les accidents, la conduite en état d'ivresse ... tous ces éléments peuvent avoir une issue fatale pour l'usager de la route.

Mais que se passerait-il si ce dysfonctionnement catastrophique du véhicule était en fait provoqué à distance, à la suite d'une cyberattaque particulièrement malveillante ? Il a longtemps été suggéré que le monde se préoccuperait sérieusement de la cybersécurité lorsque des vies seraient en danger, mais la réalité est que nous sommes déjà bien avancés dans ce domaine et que, sans intervention, la situation ne fera que s'aggraver à partir de maintenant.

En 2015, des chercheurs en sécurité ont réussi à "tuer" le moteur d'une Jeep Cherokee alors qu'elle roulait sur une autoroute. En utilisant une faille connue dans le logiciel du système, ils ont pu contrôler sans fil la climatisation, la radio, la direction, les freins et la transmission. Bien que dangereuse, cette expérience était limitée, mais elle a prouvé le contrôle mortel qu'un pirate peut exercer sur un véhicule et ses occupants. Depuis cet événement, des millions de véhicules connectés ont pris la route, chacun représentant des millions de lignes de code qui doivent être sécurisées.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain. Il est urgent que les développeurs de logiciels de l'industrie automobile partagent la responsabilité de la sécurité, et l'ASRG est le centre communautaire sur lequel beaucoup comptent pour obtenir les dernières connaissances en matière de sécurité, des outils, des recommandations de leurs pairs et du soutien. Leur site mondial Secure Code Warrior tournament a cherché à engager, évaluer et inspirer plus de 100 développeurs représentant les chapitres ASRG du monde entier. En participant à des compétitions amicales et à des formations, ils ont cherché à résoudre des défis de codage sécurisé qui sont directement liés aux problèmes auxquels sont confrontés les logiciels prévalant dans leur secteur d'activité.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain.

TEMPS PASSÉ EN FORMATION : 3303 minutes ACTIF SUR TOURNAMENTS: 3697 minutes EN APPRENTISSAGE DE PREMIÈRE NIVEAU 189 minutes

Les faits et les chiffres de tournament et des essais de formation

C'est le signe d'un engagement élevé et d'un désir de continuer à jouer, deux effets secondaires extrêmement bénéfiques des techniques de gamification dans le domaine de la formation et de l'éducation.

La formation et le site tournaments peuvent être joués dans les langages et les cadres souhaités par chaque développeur, ce qui garantit que les défis sont très pertinents et qu'ils utilisent le code du monde réel qu'ils rencontrent dans leur travail quotidien. Cette approche contextuelle de l'apprentissage permet de fournir rapidement le contenu le plus important pour résoudre les problèmes les plus fréquents dans le SDLC de l'organisation.

Le profil de développeur le plus courant parmi les participants 

Tournaments sont un excellent moyen d'introduire d'introduire des de sécurité, un référence de qualité, et la responsabilité d'apprendre à écraser les bogues bogues de sécurité dans le code

Autres résultats significatifs :

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par langue

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par vulnérabilité

Bien que tous les participants aient fait preuve d'une certaine maîtrise des langages et des cadres qu'ils avaient choisis, aucune zone de vulnérabilité n'a été jugée "sûre à 100 %" ou maîtrisée, et le score d'exactitude moyen était de 67 %.Aucun développeur n'est censé devenir un expert en sécurité, mais tournaments est un excellent moyen d'introduire des normes de sécurité, un critère de qualité et la responsabilité d'apprendre à éliminer les bogues de sécurité courants dans le code... surtout lorsque ce code peut conduire à un contrôle d'accès à distance du véhicule d'une personne, ou pire encore.

Tournament aperçu des facteurs de risque liés à la vulnérabilité et aux compétences

Les initiatives de formation et le site tournament de l'ASRG se sont concentrés sur certaines vulnérabilités clés qui affectent les véhicules connectés, à savoir

image décorative

Après des milliers de minutes de formation et des centaines de défis, il est apparu clairement que les domaines d'intérêt devaient rester le contrôle d'accès, le stockage de données sensibles et, en priorité, les vulnérabilités liées à la corruption de la mémoire. Cette dernière est une faille potentielle connue, non seulement dans les véhicules ultra-connectés, mais aussi dans de nombreux autres appareils IoT.

Un tel bogue a récemment été découvert par l'équipe Customer Experience Assessment & Penetration Team (CX APT) de Cisco dans GNU Glibc, une bibliothèque utilisée dans les systèmes Linux ARMv7, les rendant vulnérables à la corruption de la mémoire jusqu'à ce qu'un correctif soit créé et appliqué. À l'heure où les appareils sont truffés de capteurs et collectent des données en temps réel à partir de multiples points de l'environnement, un attaquant pourrait être bien servi, même s'il n'est pas possible de prendre le contrôle de l'appareil à distance. 

L'équipe de l'ASRG a mis en place des ressources incroyables pour les développeurs qui ont besoin de travailler dans le domaine de la sécurité automobile, grâce à son répertoire d'outils et de solutions testés, à son wiki complet et à sa puissante communauté mondiale. Ces initiatives de groupes indépendants sont ce qu'il faut pour conduire le changement au niveau de la base, et leur volonté d'essayer de nouvelles choses et de forger les bases de la sensibilisation à la sécurité chez leurs membres est un élément puissant pour arrêter les vulnérabilités récurrentes dans les dispositifs hautement sensibles.

Retour sur investissement des dépenses engagées dès maintenant pour les meilleures pratiques de codage sécurisé

Une étude publiée par SAE International et le Synopsys Software IntegrityGroup a révélé qu'en termes de sécurisation des technologies connectées et de protection contre les cybermenaces existantes et émergentes, l'industrie automobile était nettement à la traîne par rapport à beaucoup d'autres.

Il s'agit d'une tendance préoccupante, mais qui n'est pas irréversible - en particulier grâce à des organisations telles que l'ASRG qui se battent pour maintenir la sécurité au premier plan dans l'industrie, tout en mettant en lumière les solutions, les outils et la formation nécessaires aux entreprises automobiles pour mettre en place un programme de sécurité à toute épreuve.

Leur expérience de la gestion d'un site mondial très engageant, Secure Code Warrior Tournament , leur a permis d'identifier les principaux domaines de risque au sein d'une cohorte de développement, les possibilités de formation continue, les statistiques de précision issues des défis de codage sécurisé et les principales vulnérabilités sur lesquelles se concentrer, en fonction des besoins de l'industrie.

Quels seraient donc les bénéfices estimés de la transformation d'un programme de sécurité au sein d'une organisation, en instillant une sensibilisation à la sécurité et une action dès le début du cycle de développement durable ? Jetons un coup d'œil :

Pour une entreprise qui identifie un nombre même modeste de vulnérabilités annuelles lors de ses audits de sécurité, les coûts potentiels de détection et de correction peuvent être considérables. En outre, selon l'endroit où ces bogues gênants sont révélés au cours du processus, le prix de la correction peut augmenter considérablement, même pour les corrections "simples" - jusqu'à trente fois le coût d'une correction tardive, par rapport à une correction trouvée et effectuée dès le début.

Coût relatif de la réparation, en fonction du moment de la détection

Ignorer les vulnérabilités vulnérabilités courantes jusqu'au dernier moment moment possible est un moyen infaillible de faire exploser les budgets et de manquer des versions critiques. et de manquer des dates de critiques. En commençant à gauche et en en donnant aux développeurs les moyens de d'effacer des bogues vieux de plusieurs décennies comme les injections SQL, les XSS et les les erreurs de configuration en matière de sécurité, les économies de coûts - sans parler du temps - sont immenses.

Retour sur investissement

Cette estimation en trois points montre l'impact financier et journalier potentiel de trois économies différentes rendues possibles par la formation, le sitetournaments et la transformation culturelle de SecureCode Warrior.

Économies annuelles potentielles

Télécharger le PDF
Voir la ressource
Télécharger le PDF
Voir la ressource

Explorez cette étude de cas complète pour en savoir plus sur la façon dont ils ont utilisé Secure Code Warrior's tournaments pour impliquer les développeurs, accroître la sensibilisation aux principales vulnérabilités affectant les logiciels automobiles, et obtenir des mesures dans plusieurs langages et cadres de travail.

Vous souhaitez en savoir plus ?

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Publié le 01 janvier 2021

Partager sur :

Tournament Couple : Les efforts de l'ASRG en faveur de la sécurité des logiciels automobiles

Le groupe de recherche sur la sécurité automobile est une organisation à but non lucratif qui se consacre à la sensibilisation et au soutien du développement de la sécurité pour l'industrie automobile, en mettant l'accent sur la recherche et la promotion de solutions qui rendent les produits automobiles plus sûrs et plus sécurisés. À l'heure actuelle, cette industrie est en train de changer et de vivre la prochaine révolution des véhicules connectés, autonomes, partagés, électrifiés et définis par logiciel. Alors que nous nous dirigeons vers ce nouveau monde technologique pour l'industrie, avec une énorme dépendance croissante sur les logiciels alimentant les véhicules et les applications de l'écosystème, des organisations comme l'ASRG jouent un rôle clé en attirant l'attention sur la sécurité des logiciels dans l'industrie automobile et en la défendant.

Cette prise de conscience, et surtout l'action des constructeurs, seront cruciales car les vecteurs d'attaque potentiels et le risque cybernétique augmentent avec l'adoption croissante des nouvelles technologies automobiles sur le marché des consommateurs. Le FBI a récemment mis en garde contre les attaquants qui ciblent l'industrie automobile américaine, la grande majorité des brèches étant dues à des données sensibles non cryptées. Cette situation, qui s'ajoute à des attaques telles que le forçage brutal de bases de données mal configurées, pourrait avoir des conséquences considérables et potentiellement mortelles. Dans le cadre de ses recherches sur les solutions et les outils qui contribuent à façonner et à faire respecter les normes de sécurité logicielle dans les produits automobiles, l'équipe de l'ASRG a testé la plateforme Secure Code Warrior, à savoir la fonction Tournaments . Conçue pour faire participer les développeurs à une compétition amicale et ludique, les sensibiliser à la sécurité et les aider à perfectionner leurs compétences en matière de codage sécurisé, l'ASRG a cherché à savoir comment Secure Code Warrior pouvait susciter l'intérêt des développeurs pour la sécurité, leur enseigner les compétences nécessaires pour éliminer les vulnérabilités courantes qui affectent les logiciels automobiles et ouvrent la voie à des risques inacceptables.

Faisons la lumière sur l'état l'état de l'industrie, les problèmes immédiats immédiates auxquelles nous devons faire face, et les statistiques réelles de centaines de défis joués sur la plateforme Secure Code Warrior.

Quels sont les vecteurs d'attaque typiques des logiciels automobiles ?

Lorsque l'on analyse les possibilités d'accès des pirates aux logiciels automobiles, il existe de nombreuses possibilités, comme le montre le rapport détaillé d rapport complet d'Allot.

Même s'ils sont sensibilisés à la sécurité, les développeurs ne peuvent pas se défendre contre toutes ces menaces (et il ne faut pas s'attendre à ce qu'ils le fassent - les spécialistes de l'AppSec existent pour une bonne raison !

→ Interface web et API mobiles
Des applications web et des API exploitables peuvent permettre à un pirate d'accéder à des informations d'identification sensibles, et quelque chose d'aussi simple qu'une mauvaise configuration de la sécurité ou une vulnérabilité de la logique commerciale peut conduire à une violation importante de la vie privée - ou du moins, à la transmission de plus d'informations que prévu entre les logiciels - au sein des applications connectées.

→ Applications mobiles
Nous sommes nombreux à apprécier le confort moderne de la connectivité automobile via une interface embarquée. Cependant, une attaque malveillante est possible si une vulnérabilité permet un accès involontaire à quelque chose d'aussi simple que la radio. L'inclusion de fichiers à distance permettrait de diffuser des logiciels malveillants dans les applications multimédias embarquées.

→ Injection de code sur les systèmes de divertissement
Sur un système exploitable, un pirate peut potentiellement créer des fichiers multimédias qui peuvent modifier le code à l'intérieur du système. Cela ouvre des voies pour exploiter, et même contrôler à distance, d'autres parties des véhicules connectés.

→ Médias sans fil
Les acteurs de la menace peuvent s'attaquer aux vulnérabilités des canaux sans fil tels que Bluetooth ou Wi-Fi, ce qui permet de contourner les privilèges administratifs.

→ Interfaces de capteurs externes
Les acteurs de la menace peuvent falsifier les capteurs externes et forcer le véhicule à prendre des mesures non souhaitées.

→ Entrée par clé sans fil
Les applications vulnérables peuvent être utilisées pour exploiter l'entrée de clé sans fil, les attaquants pouvant utiliser un pont proxy entre la clé et l'automobile, ce qui leur donne la possibilité de verrouiller ou d'ouvrir l'automobile à volonté. Cela a déjà été prouvé lors d'attaques sur plusieurs véhicules.

→ Accès à un dispositif externe via le port OBD-II
Accès potentiel aux systèmes internes du véhicule.

Attaques contre le service en nuage du fournisseur automobile
Une infrastructure en nuage vulnérable - même quelque chose d'aussi simple qu'une mauvaise configuration - pourrait potentiellement permettre à un acteur de menace d'attaquer de nombreux véhicules connectés à la fois.

Il existe de nombreuses portes dérobées courantes que les ingénieurs avisés peuvent fermer dans leur code avant qu'elles ne deviennent un problème sérieux

Quelle est la gravité de la situation d'un véhicule compromis ?

Il est assez évident pour le commun des mortels que la plupart des véhicules ne sont pas sûrs à 100 % et qu'un élément de risque est pris lorsqu'on les utilise. Les dysfonctionnements des véhicules à moteur, les accidents, la conduite en état d'ivresse ... tous ces éléments peuvent avoir une issue fatale pour l'usager de la route.

Mais que se passerait-il si ce dysfonctionnement catastrophique du véhicule était en fait provoqué à distance, à la suite d'une cyberattaque particulièrement malveillante ? Il a longtemps été suggéré que le monde se préoccuperait sérieusement de la cybersécurité lorsque des vies seraient en danger, mais la réalité est que nous sommes déjà bien avancés dans ce domaine et que, sans intervention, la situation ne fera que s'aggraver à partir de maintenant.

En 2015, des chercheurs en sécurité ont réussi à "tuer" le moteur d'une Jeep Cherokee alors qu'elle roulait sur une autoroute. En utilisant une faille connue dans le logiciel du système, ils ont pu contrôler sans fil la climatisation, la radio, la direction, les freins et la transmission. Bien que dangereuse, cette expérience était limitée, mais elle a prouvé le contrôle mortel qu'un pirate peut exercer sur un véhicule et ses occupants. Depuis cet événement, des millions de véhicules connectés ont pris la route, chacun représentant des millions de lignes de code qui doivent être sécurisées.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain. Il est urgent que les développeurs de logiciels de l'industrie automobile partagent la responsabilité de la sécurité, et l'ASRG est le centre communautaire sur lequel beaucoup comptent pour obtenir les dernières connaissances en matière de sécurité, des outils, des recommandations de leurs pairs et du soutien. Leur site mondial Secure Code Warrior tournament a cherché à engager, évaluer et inspirer plus de 100 développeurs représentant les chapitres ASRG du monde entier. En participant à des compétitions amicales et à des formations, ils ont cherché à résoudre des défis de codage sécurisé qui sont directement liés aux problèmes auxquels sont confrontés les logiciels prévalant dans leur secteur d'activité.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain.

TEMPS PASSÉ EN FORMATION : 3303 minutes ACTIF SUR TOURNAMENTS: 3697 minutes EN APPRENTISSAGE DE PREMIÈRE NIVEAU 189 minutes

Les faits et les chiffres de tournament et des essais de formation

C'est le signe d'un engagement élevé et d'un désir de continuer à jouer, deux effets secondaires extrêmement bénéfiques des techniques de gamification dans le domaine de la formation et de l'éducation.

La formation et le site tournaments peuvent être joués dans les langages et les cadres souhaités par chaque développeur, ce qui garantit que les défis sont très pertinents et qu'ils utilisent le code du monde réel qu'ils rencontrent dans leur travail quotidien. Cette approche contextuelle de l'apprentissage permet de fournir rapidement le contenu le plus important pour résoudre les problèmes les plus fréquents dans le SDLC de l'organisation.

Le profil de développeur le plus courant parmi les participants 

Tournaments sont un excellent moyen d'introduire d'introduire des de sécurité, un référence de qualité, et la responsabilité d'apprendre à écraser les bogues bogues de sécurité dans le code

Autres résultats significatifs :

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par langue

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par vulnérabilité

Bien que tous les participants aient fait preuve d'une certaine maîtrise des langages et des cadres qu'ils avaient choisis, aucune zone de vulnérabilité n'a été jugée "sûre à 100 %" ou maîtrisée, et le score d'exactitude moyen était de 67 %.Aucun développeur n'est censé devenir un expert en sécurité, mais tournaments est un excellent moyen d'introduire des normes de sécurité, un critère de qualité et la responsabilité d'apprendre à éliminer les bogues de sécurité courants dans le code... surtout lorsque ce code peut conduire à un contrôle d'accès à distance du véhicule d'une personne, ou pire encore.

Tournament aperçu des facteurs de risque liés à la vulnérabilité et aux compétences

Les initiatives de formation et le site tournament de l'ASRG se sont concentrés sur certaines vulnérabilités clés qui affectent les véhicules connectés, à savoir

image décorative

Après des milliers de minutes de formation et des centaines de défis, il est apparu clairement que les domaines d'intérêt devaient rester le contrôle d'accès, le stockage de données sensibles et, en priorité, les vulnérabilités liées à la corruption de la mémoire. Cette dernière est une faille potentielle connue, non seulement dans les véhicules ultra-connectés, mais aussi dans de nombreux autres appareils IoT.

Un tel bogue a récemment été découvert par l'équipe Customer Experience Assessment & Penetration Team (CX APT) de Cisco dans GNU Glibc, une bibliothèque utilisée dans les systèmes Linux ARMv7, les rendant vulnérables à la corruption de la mémoire jusqu'à ce qu'un correctif soit créé et appliqué. À l'heure où les appareils sont truffés de capteurs et collectent des données en temps réel à partir de multiples points de l'environnement, un attaquant pourrait être bien servi, même s'il n'est pas possible de prendre le contrôle de l'appareil à distance. 

L'équipe de l'ASRG a mis en place des ressources incroyables pour les développeurs qui ont besoin de travailler dans le domaine de la sécurité automobile, grâce à son répertoire d'outils et de solutions testés, à son wiki complet et à sa puissante communauté mondiale. Ces initiatives de groupes indépendants sont ce qu'il faut pour conduire le changement au niveau de la base, et leur volonté d'essayer de nouvelles choses et de forger les bases de la sensibilisation à la sécurité chez leurs membres est un élément puissant pour arrêter les vulnérabilités récurrentes dans les dispositifs hautement sensibles.

Retour sur investissement des dépenses engagées dès maintenant pour les meilleures pratiques de codage sécurisé

Une étude publiée par SAE International et le Synopsys Software IntegrityGroup a révélé qu'en termes de sécurisation des technologies connectées et de protection contre les cybermenaces existantes et émergentes, l'industrie automobile était nettement à la traîne par rapport à beaucoup d'autres.

Il s'agit d'une tendance préoccupante, mais qui n'est pas irréversible - en particulier grâce à des organisations telles que l'ASRG qui se battent pour maintenir la sécurité au premier plan dans l'industrie, tout en mettant en lumière les solutions, les outils et la formation nécessaires aux entreprises automobiles pour mettre en place un programme de sécurité à toute épreuve.

Leur expérience de la gestion d'un site mondial très engageant, Secure Code Warrior Tournament , leur a permis d'identifier les principaux domaines de risque au sein d'une cohorte de développement, les possibilités de formation continue, les statistiques de précision issues des défis de codage sécurisé et les principales vulnérabilités sur lesquelles se concentrer, en fonction des besoins de l'industrie.

Quels seraient donc les bénéfices estimés de la transformation d'un programme de sécurité au sein d'une organisation, en instillant une sensibilisation à la sécurité et une action dès le début du cycle de développement durable ? Jetons un coup d'œil :

Pour une entreprise qui identifie un nombre même modeste de vulnérabilités annuelles lors de ses audits de sécurité, les coûts potentiels de détection et de correction peuvent être considérables. En outre, selon l'endroit où ces bogues gênants sont révélés au cours du processus, le prix de la correction peut augmenter considérablement, même pour les corrections "simples" - jusqu'à trente fois le coût d'une correction tardive, par rapport à une correction trouvée et effectuée dès le début.

Coût relatif de la réparation, en fonction du moment de la détection

Ignorer les vulnérabilités vulnérabilités courantes jusqu'au dernier moment moment possible est un moyen infaillible de faire exploser les budgets et de manquer des versions critiques. et de manquer des dates de critiques. En commençant à gauche et en en donnant aux développeurs les moyens de d'effacer des bogues vieux de plusieurs décennies comme les injections SQL, les XSS et les les erreurs de configuration en matière de sécurité, les économies de coûts - sans parler du temps - sont immenses.

Retour sur investissement

Cette estimation en trois points montre l'impact financier et journalier potentiel de trois économies différentes rendues possibles par la formation, le sitetournaments et la transformation culturelle de SecureCode Warrior.

Économies annuelles potentielles

Télécharger le PDF
Voir la ressource
Télécharger le PDF
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Tournament Couple : Les efforts de l'ASRG en faveur de la sécurité des logiciels automobiles

Le groupe de recherche sur la sécurité automobile est une organisation à but non lucratif qui se consacre à la sensibilisation et au soutien du développement de la sécurité pour l'industrie automobile, en mettant l'accent sur la recherche et la promotion de solutions qui rendent les produits automobiles plus sûrs et plus sécurisés. À l'heure actuelle, cette industrie est en train de changer et de vivre la prochaine révolution des véhicules connectés, autonomes, partagés, électrifiés et définis par logiciel. Alors que nous nous dirigeons vers ce nouveau monde technologique pour l'industrie, avec une énorme dépendance croissante sur les logiciels alimentant les véhicules et les applications de l'écosystème, des organisations comme l'ASRG jouent un rôle clé en attirant l'attention sur la sécurité des logiciels dans l'industrie automobile et en la défendant.

Cette prise de conscience, et surtout l'action des constructeurs, seront cruciales car les vecteurs d'attaque potentiels et le risque cybernétique augmentent avec l'adoption croissante des nouvelles technologies automobiles sur le marché des consommateurs. Le FBI a récemment mis en garde contre les attaquants qui ciblent l'industrie automobile américaine, la grande majorité des brèches étant dues à des données sensibles non cryptées. Cette situation, qui s'ajoute à des attaques telles que le forçage brutal de bases de données mal configurées, pourrait avoir des conséquences considérables et potentiellement mortelles. Dans le cadre de ses recherches sur les solutions et les outils qui contribuent à façonner et à faire respecter les normes de sécurité logicielle dans les produits automobiles, l'équipe de l'ASRG a testé la plateforme Secure Code Warrior, à savoir la fonction Tournaments . Conçue pour faire participer les développeurs à une compétition amicale et ludique, les sensibiliser à la sécurité et les aider à perfectionner leurs compétences en matière de codage sécurisé, l'ASRG a cherché à savoir comment Secure Code Warrior pouvait susciter l'intérêt des développeurs pour la sécurité, leur enseigner les compétences nécessaires pour éliminer les vulnérabilités courantes qui affectent les logiciels automobiles et ouvrent la voie à des risques inacceptables.

Faisons la lumière sur l'état l'état de l'industrie, les problèmes immédiats immédiates auxquelles nous devons faire face, et les statistiques réelles de centaines de défis joués sur la plateforme Secure Code Warrior.

Quels sont les vecteurs d'attaque typiques des logiciels automobiles ?

Lorsque l'on analyse les possibilités d'accès des pirates aux logiciels automobiles, il existe de nombreuses possibilités, comme le montre le rapport détaillé d rapport complet d'Allot.

Même s'ils sont sensibilisés à la sécurité, les développeurs ne peuvent pas se défendre contre toutes ces menaces (et il ne faut pas s'attendre à ce qu'ils le fassent - les spécialistes de l'AppSec existent pour une bonne raison !

→ Interface web et API mobiles
Des applications web et des API exploitables peuvent permettre à un pirate d'accéder à des informations d'identification sensibles, et quelque chose d'aussi simple qu'une mauvaise configuration de la sécurité ou une vulnérabilité de la logique commerciale peut conduire à une violation importante de la vie privée - ou du moins, à la transmission de plus d'informations que prévu entre les logiciels - au sein des applications connectées.

→ Applications mobiles
Nous sommes nombreux à apprécier le confort moderne de la connectivité automobile via une interface embarquée. Cependant, une attaque malveillante est possible si une vulnérabilité permet un accès involontaire à quelque chose d'aussi simple que la radio. L'inclusion de fichiers à distance permettrait de diffuser des logiciels malveillants dans les applications multimédias embarquées.

→ Injection de code sur les systèmes de divertissement
Sur un système exploitable, un pirate peut potentiellement créer des fichiers multimédias qui peuvent modifier le code à l'intérieur du système. Cela ouvre des voies pour exploiter, et même contrôler à distance, d'autres parties des véhicules connectés.

→ Médias sans fil
Les acteurs de la menace peuvent s'attaquer aux vulnérabilités des canaux sans fil tels que Bluetooth ou Wi-Fi, ce qui permet de contourner les privilèges administratifs.

→ Interfaces de capteurs externes
Les acteurs de la menace peuvent falsifier les capteurs externes et forcer le véhicule à prendre des mesures non souhaitées.

→ Entrée par clé sans fil
Les applications vulnérables peuvent être utilisées pour exploiter l'entrée de clé sans fil, les attaquants pouvant utiliser un pont proxy entre la clé et l'automobile, ce qui leur donne la possibilité de verrouiller ou d'ouvrir l'automobile à volonté. Cela a déjà été prouvé lors d'attaques sur plusieurs véhicules.

→ Accès à un dispositif externe via le port OBD-II
Accès potentiel aux systèmes internes du véhicule.

Attaques contre le service en nuage du fournisseur automobile
Une infrastructure en nuage vulnérable - même quelque chose d'aussi simple qu'une mauvaise configuration - pourrait potentiellement permettre à un acteur de menace d'attaquer de nombreux véhicules connectés à la fois.

Il existe de nombreuses portes dérobées courantes que les ingénieurs avisés peuvent fermer dans leur code avant qu'elles ne deviennent un problème sérieux

Quelle est la gravité de la situation d'un véhicule compromis ?

Il est assez évident pour le commun des mortels que la plupart des véhicules ne sont pas sûrs à 100 % et qu'un élément de risque est pris lorsqu'on les utilise. Les dysfonctionnements des véhicules à moteur, les accidents, la conduite en état d'ivresse ... tous ces éléments peuvent avoir une issue fatale pour l'usager de la route.

Mais que se passerait-il si ce dysfonctionnement catastrophique du véhicule était en fait provoqué à distance, à la suite d'une cyberattaque particulièrement malveillante ? Il a longtemps été suggéré que le monde se préoccuperait sérieusement de la cybersécurité lorsque des vies seraient en danger, mais la réalité est que nous sommes déjà bien avancés dans ce domaine et que, sans intervention, la situation ne fera que s'aggraver à partir de maintenant.

En 2015, des chercheurs en sécurité ont réussi à "tuer" le moteur d'une Jeep Cherokee alors qu'elle roulait sur une autoroute. En utilisant une faille connue dans le logiciel du système, ils ont pu contrôler sans fil la climatisation, la radio, la direction, les freins et la transmission. Bien que dangereuse, cette expérience était limitée, mais elle a prouvé le contrôle mortel qu'un pirate peut exercer sur un véhicule et ses occupants. Depuis cet événement, des millions de véhicules connectés ont pris la route, chacun représentant des millions de lignes de code qui doivent être sécurisées.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain. Il est urgent que les développeurs de logiciels de l'industrie automobile partagent la responsabilité de la sécurité, et l'ASRG est le centre communautaire sur lequel beaucoup comptent pour obtenir les dernières connaissances en matière de sécurité, des outils, des recommandations de leurs pairs et du soutien. Leur site mondial Secure Code Warrior tournament a cherché à engager, évaluer et inspirer plus de 100 développeurs représentant les chapitres ASRG du monde entier. En participant à des compétitions amicales et à des formations, ils ont cherché à résoudre des défis de codage sécurisé qui sont directement liés aux problèmes auxquels sont confrontés les logiciels prévalant dans leur secteur d'activité.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain.

TEMPS PASSÉ EN FORMATION : 3303 minutes ACTIF SUR TOURNAMENTS: 3697 minutes EN APPRENTISSAGE DE PREMIÈRE NIVEAU 189 minutes

Les faits et les chiffres de tournament et des essais de formation

C'est le signe d'un engagement élevé et d'un désir de continuer à jouer, deux effets secondaires extrêmement bénéfiques des techniques de gamification dans le domaine de la formation et de l'éducation.

La formation et le site tournaments peuvent être joués dans les langages et les cadres souhaités par chaque développeur, ce qui garantit que les défis sont très pertinents et qu'ils utilisent le code du monde réel qu'ils rencontrent dans leur travail quotidien. Cette approche contextuelle de l'apprentissage permet de fournir rapidement le contenu le plus important pour résoudre les problèmes les plus fréquents dans le SDLC de l'organisation.

Le profil de développeur le plus courant parmi les participants 

Tournaments sont un excellent moyen d'introduire d'introduire des de sécurité, un référence de qualité, et la responsabilité d'apprendre à écraser les bogues bogues de sécurité dans le code

Autres résultats significatifs :

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par langue

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par vulnérabilité

Bien que tous les participants aient fait preuve d'une certaine maîtrise des langages et des cadres qu'ils avaient choisis, aucune zone de vulnérabilité n'a été jugée "sûre à 100 %" ou maîtrisée, et le score d'exactitude moyen était de 67 %.Aucun développeur n'est censé devenir un expert en sécurité, mais tournaments est un excellent moyen d'introduire des normes de sécurité, un critère de qualité et la responsabilité d'apprendre à éliminer les bogues de sécurité courants dans le code... surtout lorsque ce code peut conduire à un contrôle d'accès à distance du véhicule d'une personne, ou pire encore.

Tournament aperçu des facteurs de risque liés à la vulnérabilité et aux compétences

Les initiatives de formation et le site tournament de l'ASRG se sont concentrés sur certaines vulnérabilités clés qui affectent les véhicules connectés, à savoir

image décorative

Après des milliers de minutes de formation et des centaines de défis, il est apparu clairement que les domaines d'intérêt devaient rester le contrôle d'accès, le stockage de données sensibles et, en priorité, les vulnérabilités liées à la corruption de la mémoire. Cette dernière est une faille potentielle connue, non seulement dans les véhicules ultra-connectés, mais aussi dans de nombreux autres appareils IoT.

Un tel bogue a récemment été découvert par l'équipe Customer Experience Assessment & Penetration Team (CX APT) de Cisco dans GNU Glibc, une bibliothèque utilisée dans les systèmes Linux ARMv7, les rendant vulnérables à la corruption de la mémoire jusqu'à ce qu'un correctif soit créé et appliqué. À l'heure où les appareils sont truffés de capteurs et collectent des données en temps réel à partir de multiples points de l'environnement, un attaquant pourrait être bien servi, même s'il n'est pas possible de prendre le contrôle de l'appareil à distance. 

L'équipe de l'ASRG a mis en place des ressources incroyables pour les développeurs qui ont besoin de travailler dans le domaine de la sécurité automobile, grâce à son répertoire d'outils et de solutions testés, à son wiki complet et à sa puissante communauté mondiale. Ces initiatives de groupes indépendants sont ce qu'il faut pour conduire le changement au niveau de la base, et leur volonté d'essayer de nouvelles choses et de forger les bases de la sensibilisation à la sécurité chez leurs membres est un élément puissant pour arrêter les vulnérabilités récurrentes dans les dispositifs hautement sensibles.

Retour sur investissement des dépenses engagées dès maintenant pour les meilleures pratiques de codage sécurisé

Une étude publiée par SAE International et le Synopsys Software IntegrityGroup a révélé qu'en termes de sécurisation des technologies connectées et de protection contre les cybermenaces existantes et émergentes, l'industrie automobile était nettement à la traîne par rapport à beaucoup d'autres.

Il s'agit d'une tendance préoccupante, mais qui n'est pas irréversible - en particulier grâce à des organisations telles que l'ASRG qui se battent pour maintenir la sécurité au premier plan dans l'industrie, tout en mettant en lumière les solutions, les outils et la formation nécessaires aux entreprises automobiles pour mettre en place un programme de sécurité à toute épreuve.

Leur expérience de la gestion d'un site mondial très engageant, Secure Code Warrior Tournament , leur a permis d'identifier les principaux domaines de risque au sein d'une cohorte de développement, les possibilités de formation continue, les statistiques de précision issues des défis de codage sécurisé et les principales vulnérabilités sur lesquelles se concentrer, en fonction des besoins de l'industrie.

Quels seraient donc les bénéfices estimés de la transformation d'un programme de sécurité au sein d'une organisation, en instillant une sensibilisation à la sécurité et une action dès le début du cycle de développement durable ? Jetons un coup d'œil :

Pour une entreprise qui identifie un nombre même modeste de vulnérabilités annuelles lors de ses audits de sécurité, les coûts potentiels de détection et de correction peuvent être considérables. En outre, selon l'endroit où ces bogues gênants sont révélés au cours du processus, le prix de la correction peut augmenter considérablement, même pour les corrections "simples" - jusqu'à trente fois le coût d'une correction tardive, par rapport à une correction trouvée et effectuée dès le début.

Coût relatif de la réparation, en fonction du moment de la détection

Ignorer les vulnérabilités vulnérabilités courantes jusqu'au dernier moment moment possible est un moyen infaillible de faire exploser les budgets et de manquer des versions critiques. et de manquer des dates de critiques. En commençant à gauche et en en donnant aux développeurs les moyens de d'effacer des bogues vieux de plusieurs décennies comme les injections SQL, les XSS et les les erreurs de configuration en matière de sécurité, les économies de coûts - sans parler du temps - sont immenses.

Retour sur investissement

Cette estimation en trois points montre l'impact financier et journalier potentiel de trois économies différentes rendues possibles par la formation, le sitetournaments et la transformation culturelle de SecureCode Warrior.

Économies annuelles potentielles

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Vous souhaitez essayer Secure Code Warrior mais vous n'avez pas encore de compte ? Créez un compte d'essai gratuit dès aujourd'hui pour commencer.

Essayez maintenant
Partager sur :
Auteur
Publié le 01 janvier 2021

Partager sur :

Tournament Couple : Les efforts de l'ASRG en faveur de la sécurité des logiciels automobiles

Le groupe de recherche sur la sécurité automobile est une organisation à but non lucratif qui se consacre à la sensibilisation et au soutien du développement de la sécurité pour l'industrie automobile, en mettant l'accent sur la recherche et la promotion de solutions qui rendent les produits automobiles plus sûrs et plus sécurisés. À l'heure actuelle, cette industrie est en train de changer et de vivre la prochaine révolution des véhicules connectés, autonomes, partagés, électrifiés et définis par logiciel. Alors que nous nous dirigeons vers ce nouveau monde technologique pour l'industrie, avec une énorme dépendance croissante sur les logiciels alimentant les véhicules et les applications de l'écosystème, des organisations comme l'ASRG jouent un rôle clé en attirant l'attention sur la sécurité des logiciels dans l'industrie automobile et en la défendant.

Cette prise de conscience, et surtout l'action des constructeurs, seront cruciales car les vecteurs d'attaque potentiels et le risque cybernétique augmentent avec l'adoption croissante des nouvelles technologies automobiles sur le marché des consommateurs. Le FBI a récemment mis en garde contre les attaquants qui ciblent l'industrie automobile américaine, la grande majorité des brèches étant dues à des données sensibles non cryptées. Cette situation, qui s'ajoute à des attaques telles que le forçage brutal de bases de données mal configurées, pourrait avoir des conséquences considérables et potentiellement mortelles. Dans le cadre de ses recherches sur les solutions et les outils qui contribuent à façonner et à faire respecter les normes de sécurité logicielle dans les produits automobiles, l'équipe de l'ASRG a testé la plateforme Secure Code Warrior, à savoir la fonction Tournaments . Conçue pour faire participer les développeurs à une compétition amicale et ludique, les sensibiliser à la sécurité et les aider à perfectionner leurs compétences en matière de codage sécurisé, l'ASRG a cherché à savoir comment Secure Code Warrior pouvait susciter l'intérêt des développeurs pour la sécurité, leur enseigner les compétences nécessaires pour éliminer les vulnérabilités courantes qui affectent les logiciels automobiles et ouvrent la voie à des risques inacceptables.

Faisons la lumière sur l'état l'état de l'industrie, les problèmes immédiats immédiates auxquelles nous devons faire face, et les statistiques réelles de centaines de défis joués sur la plateforme Secure Code Warrior.

Quels sont les vecteurs d'attaque typiques des logiciels automobiles ?

Lorsque l'on analyse les possibilités d'accès des pirates aux logiciels automobiles, il existe de nombreuses possibilités, comme le montre le rapport détaillé d rapport complet d'Allot.

Même s'ils sont sensibilisés à la sécurité, les développeurs ne peuvent pas se défendre contre toutes ces menaces (et il ne faut pas s'attendre à ce qu'ils le fassent - les spécialistes de l'AppSec existent pour une bonne raison !

→ Interface web et API mobiles
Des applications web et des API exploitables peuvent permettre à un pirate d'accéder à des informations d'identification sensibles, et quelque chose d'aussi simple qu'une mauvaise configuration de la sécurité ou une vulnérabilité de la logique commerciale peut conduire à une violation importante de la vie privée - ou du moins, à la transmission de plus d'informations que prévu entre les logiciels - au sein des applications connectées.

→ Applications mobiles
Nous sommes nombreux à apprécier le confort moderne de la connectivité automobile via une interface embarquée. Cependant, une attaque malveillante est possible si une vulnérabilité permet un accès involontaire à quelque chose d'aussi simple que la radio. L'inclusion de fichiers à distance permettrait de diffuser des logiciels malveillants dans les applications multimédias embarquées.

→ Injection de code sur les systèmes de divertissement
Sur un système exploitable, un pirate peut potentiellement créer des fichiers multimédias qui peuvent modifier le code à l'intérieur du système. Cela ouvre des voies pour exploiter, et même contrôler à distance, d'autres parties des véhicules connectés.

→ Médias sans fil
Les acteurs de la menace peuvent s'attaquer aux vulnérabilités des canaux sans fil tels que Bluetooth ou Wi-Fi, ce qui permet de contourner les privilèges administratifs.

→ Interfaces de capteurs externes
Les acteurs de la menace peuvent falsifier les capteurs externes et forcer le véhicule à prendre des mesures non souhaitées.

→ Entrée par clé sans fil
Les applications vulnérables peuvent être utilisées pour exploiter l'entrée de clé sans fil, les attaquants pouvant utiliser un pont proxy entre la clé et l'automobile, ce qui leur donne la possibilité de verrouiller ou d'ouvrir l'automobile à volonté. Cela a déjà été prouvé lors d'attaques sur plusieurs véhicules.

→ Accès à un dispositif externe via le port OBD-II
Accès potentiel aux systèmes internes du véhicule.

Attaques contre le service en nuage du fournisseur automobile
Une infrastructure en nuage vulnérable - même quelque chose d'aussi simple qu'une mauvaise configuration - pourrait potentiellement permettre à un acteur de menace d'attaquer de nombreux véhicules connectés à la fois.

Il existe de nombreuses portes dérobées courantes que les ingénieurs avisés peuvent fermer dans leur code avant qu'elles ne deviennent un problème sérieux

Quelle est la gravité de la situation d'un véhicule compromis ?

Il est assez évident pour le commun des mortels que la plupart des véhicules ne sont pas sûrs à 100 % et qu'un élément de risque est pris lorsqu'on les utilise. Les dysfonctionnements des véhicules à moteur, les accidents, la conduite en état d'ivresse ... tous ces éléments peuvent avoir une issue fatale pour l'usager de la route.

Mais que se passerait-il si ce dysfonctionnement catastrophique du véhicule était en fait provoqué à distance, à la suite d'une cyberattaque particulièrement malveillante ? Il a longtemps été suggéré que le monde se préoccuperait sérieusement de la cybersécurité lorsque des vies seraient en danger, mais la réalité est que nous sommes déjà bien avancés dans ce domaine et que, sans intervention, la situation ne fera que s'aggraver à partir de maintenant.

En 2015, des chercheurs en sécurité ont réussi à "tuer" le moteur d'une Jeep Cherokee alors qu'elle roulait sur une autoroute. En utilisant une faille connue dans le logiciel du système, ils ont pu contrôler sans fil la climatisation, la radio, la direction, les freins et la transmission. Bien que dangereuse, cette expérience était limitée, mais elle a prouvé le contrôle mortel qu'un pirate peut exercer sur un véhicule et ses occupants. Depuis cet événement, des millions de véhicules connectés ont pris la route, chacun représentant des millions de lignes de code qui doivent être sécurisées.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain. Il est urgent que les développeurs de logiciels de l'industrie automobile partagent la responsabilité de la sécurité, et l'ASRG est le centre communautaire sur lequel beaucoup comptent pour obtenir les dernières connaissances en matière de sécurité, des outils, des recommandations de leurs pairs et du soutien. Leur site mondial Secure Code Warrior tournament a cherché à engager, évaluer et inspirer plus de 100 développeurs représentant les chapitres ASRG du monde entier. En participant à des compétitions amicales et à des formations, ils ont cherché à résoudre des défis de codage sécurisé qui sont directement liés aux problèmes auxquels sont confrontés les logiciels prévalant dans leur secteur d'activité.

La technologie des véhicules autonomes (et son adoption) évolue à un rythme effréné, ce qui peut avoir pour conséquence de mettre à rude épreuve ses créateurs, en particulier les équipes chargées d'expédier le code qui alimente les commodités de demain.

TEMPS PASSÉ EN FORMATION : 3303 minutes ACTIF SUR TOURNAMENTS: 3697 minutes EN APPRENTISSAGE DE PREMIÈRE NIVEAU 189 minutes

Les faits et les chiffres de tournament et des essais de formation

C'est le signe d'un engagement élevé et d'un désir de continuer à jouer, deux effets secondaires extrêmement bénéfiques des techniques de gamification dans le domaine de la formation et de l'éducation.

La formation et le site tournaments peuvent être joués dans les langages et les cadres souhaités par chaque développeur, ce qui garantit que les défis sont très pertinents et qu'ils utilisent le code du monde réel qu'ils rencontrent dans leur travail quotidien. Cette approche contextuelle de l'apprentissage permet de fournir rapidement le contenu le plus important pour résoudre les problèmes les plus fréquents dans le SDLC de l'organisation.

Le profil de développeur le plus courant parmi les participants 

Tournaments sont un excellent moyen d'introduire d'introduire des de sécurité, un référence de qualité, et la responsabilité d'apprendre à écraser les bogues bogues de sécurité dans le code

Autres résultats significatifs :

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par langue

Global ASRG Virtual Secure Coding Tournament: Score de code sécurisé par vulnérabilité

Bien que tous les participants aient fait preuve d'une certaine maîtrise des langages et des cadres qu'ils avaient choisis, aucune zone de vulnérabilité n'a été jugée "sûre à 100 %" ou maîtrisée, et le score d'exactitude moyen était de 67 %.Aucun développeur n'est censé devenir un expert en sécurité, mais tournaments est un excellent moyen d'introduire des normes de sécurité, un critère de qualité et la responsabilité d'apprendre à éliminer les bogues de sécurité courants dans le code... surtout lorsque ce code peut conduire à un contrôle d'accès à distance du véhicule d'une personne, ou pire encore.

Tournament aperçu des facteurs de risque liés à la vulnérabilité et aux compétences

Les initiatives de formation et le site tournament de l'ASRG se sont concentrés sur certaines vulnérabilités clés qui affectent les véhicules connectés, à savoir

image décorative

Après des milliers de minutes de formation et des centaines de défis, il est apparu clairement que les domaines d'intérêt devaient rester le contrôle d'accès, le stockage de données sensibles et, en priorité, les vulnérabilités liées à la corruption de la mémoire. Cette dernière est une faille potentielle connue, non seulement dans les véhicules ultra-connectés, mais aussi dans de nombreux autres appareils IoT.

Un tel bogue a récemment été découvert par l'équipe Customer Experience Assessment & Penetration Team (CX APT) de Cisco dans GNU Glibc, une bibliothèque utilisée dans les systèmes Linux ARMv7, les rendant vulnérables à la corruption de la mémoire jusqu'à ce qu'un correctif soit créé et appliqué. À l'heure où les appareils sont truffés de capteurs et collectent des données en temps réel à partir de multiples points de l'environnement, un attaquant pourrait être bien servi, même s'il n'est pas possible de prendre le contrôle de l'appareil à distance. 

L'équipe de l'ASRG a mis en place des ressources incroyables pour les développeurs qui ont besoin de travailler dans le domaine de la sécurité automobile, grâce à son répertoire d'outils et de solutions testés, à son wiki complet et à sa puissante communauté mondiale. Ces initiatives de groupes indépendants sont ce qu'il faut pour conduire le changement au niveau de la base, et leur volonté d'essayer de nouvelles choses et de forger les bases de la sensibilisation à la sécurité chez leurs membres est un élément puissant pour arrêter les vulnérabilités récurrentes dans les dispositifs hautement sensibles.

Retour sur investissement des dépenses engagées dès maintenant pour les meilleures pratiques de codage sécurisé

Une étude publiée par SAE International et le Synopsys Software IntegrityGroup a révélé qu'en termes de sécurisation des technologies connectées et de protection contre les cybermenaces existantes et émergentes, l'industrie automobile était nettement à la traîne par rapport à beaucoup d'autres.

Il s'agit d'une tendance préoccupante, mais qui n'est pas irréversible - en particulier grâce à des organisations telles que l'ASRG qui se battent pour maintenir la sécurité au premier plan dans l'industrie, tout en mettant en lumière les solutions, les outils et la formation nécessaires aux entreprises automobiles pour mettre en place un programme de sécurité à toute épreuve.

Leur expérience de la gestion d'un site mondial très engageant, Secure Code Warrior Tournament , leur a permis d'identifier les principaux domaines de risque au sein d'une cohorte de développement, les possibilités de formation continue, les statistiques de précision issues des défis de codage sécurisé et les principales vulnérabilités sur lesquelles se concentrer, en fonction des besoins de l'industrie.

Quels seraient donc les bénéfices estimés de la transformation d'un programme de sécurité au sein d'une organisation, en instillant une sensibilisation à la sécurité et une action dès le début du cycle de développement durable ? Jetons un coup d'œil :

Pour une entreprise qui identifie un nombre même modeste de vulnérabilités annuelles lors de ses audits de sécurité, les coûts potentiels de détection et de correction peuvent être considérables. En outre, selon l'endroit où ces bogues gênants sont révélés au cours du processus, le prix de la correction peut augmenter considérablement, même pour les corrections "simples" - jusqu'à trente fois le coût d'une correction tardive, par rapport à une correction trouvée et effectuée dès le début.

Coût relatif de la réparation, en fonction du moment de la détection

Ignorer les vulnérabilités vulnérabilités courantes jusqu'au dernier moment moment possible est un moyen infaillible de faire exploser les budgets et de manquer des versions critiques. et de manquer des dates de critiques. En commençant à gauche et en en donnant aux développeurs les moyens de d'effacer des bogues vieux de plusieurs décennies comme les injections SQL, les XSS et les les erreurs de configuration en matière de sécurité, les économies de coûts - sans parler du temps - sont immenses.

Retour sur investissement

Cette estimation en trois points montre l'impact financier et journalier potentiel de trois économies différentes rendues possibles par la formation, le sitetournaments et la transformation culturelle de SecureCode Warrior.

Économies annuelles potentielles

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles