Catégorie : Informatique

Un VAC est un véhicule autonome pouvant émettre et recevoir des messages avec son environnement via un équipement de communication radio conforme aux standards connus sous l’appellation V2X (Vehicle-to-Everything). Les VAC sont donc des véhicules « communicants », appellation moins restrictive que « connectés », car ils peuvent communiquer directement entre eux sans être nécessairement connectés à un réseau extérieur. Par souci de concision, nous ne traitons dans cet article, ni les cas particuliers des véhicules de transport collectifs (bus, navettes, etc.), ni les problèmes posés par la coexistence de véhicules et de cyclistes ou de piétons.

Les trois principales idées à retenir concernant la conduite partiellement ou totalement automatisée sont les suivantes :
– Avant de prétendre « faire mieux » que les humains avec des VA ou des VAC, il faudrait commencer par démontrer que nous pouvons faire au moins aussi bien.
– Cela n’est pas du tout le cas en 2021 avec les VA ou les VAC conçus actuellement. Les possibilités offertes par les communications radio sont mal exploitées dans les standards V2X actuels, et les communications optiques sont ignorées.
– Il est possible de « faire mieux » que les humains avec des Véhicules de Nouvelle Génération (VNG).

Les VA dans une impasse ?

Il importe de ne pas se laisser abuser par des vidéos destinées à faire croire que le niveau SAE 5 (conduite totalement automatisée en tous lieux) est « pour bientôt ». Elles sont expurgées des séquences de reprise en main par un humain. Elles ont pour mérite involontaire de montrer qu’un VA se tient constamment très éloigné du véhicule qui le précède (donc, pas de propriété d’efficacité). Enfin, les trajets ont été enregistrés puis rejoués en simulation des milliers de fois (un « apprentissage » assez primaire) avant de finaliser les vidéos mises en ligne. Sous réserve de vérifications par les experts, il sera possible de croire que le niveau SAE 5 est atteint le jour où nous verrons des VA traverser la Place de l’Étoile à Paris vers 19h un jour non férié aux mêmes vitesses et densités que celles maîtrisées par les conducteurs humains. On n’y est pas encore.

Désormais, des progrès significatifs sont espérés dans trois domaines :
– l’intelligence artificielle (IA) avec l’apprentissage algorithmique supervisé ou autonome ;
– une redondance diversifiée des capteurs, pour fournir des données d’entrée fiables aux fonctions critiques des systèmes bord ;
– les communications radio et optiques.

La plupart des informaticiens rompus aux systèmes critiques se méfient de l’IA, à cause des exigences de preuves de propriétés dans les pires cas, preuves impossibles avec les techniques actuelles (l’IA est utile, mais pas pour l’obtention des propriétés de sécurité et d’efficacité). Trop souvent, les équipements radio sont vus comme des capteurs passifs, à l’instar des radars, lidars, caméras, etc. Au contraire, les communications radio permettent des interactions proactives entre véhicules : les messages contiennent les « intentions » de mouvements à très court terme (moins de 100 millisecondes). Le futur immédiat est donc connu a priori.

Les VAC : standards V2X

Les premiers standards (DSRC-V2X pour Dedicated Short-Range Communications) reposent sur le Wi-Fi omnidirectionnel (3G, 4G). Les standards plus récents (C-V2X) sont basés sur la radio cellulaire omnidirectionnelle et directionnelle (4G LTE, 5G). Les portées des équipements radio des VAC sont de l’ordre de 300 m. Un VAC peut être « connecté » à des antennes-relais et des unités d’infrastructures routières (V2I pour Vehicle-to-Infrastructure) qui offrent l’accès via Internet à des services disponibles dans des clouds. Les VAC peuvent aussi échanger des messages en direct, sans relais intermédiaires (V2V pour Vehicle-to-Vehicle).

Les autres capteurs (radars, lidars, caméras) ne peuvent traiter que des signaux reçus en ligne-de-vue directe. Au contraire, les messages radio ne sont pas « bloqués » par les obstacles. 

Les communications radio dans les systèmes de mobiles ne sont pas fiables. Les délais de transmission réussie des messages V2I – qui transitent par des relais terrestres – sont plus élevés que les délais des messages V2V. Ils peuvent être infinis en cas de défaillances (pannes ou cyberattaques) d’unités d’infrastructures routières.

L’utilisation partagée du spectre radio est de type probabiliste (protocoles CSMA). Les délais d’accès à un canal radio croissent (progressions géométriques) avec le nombre de véhicules émetteurs. Ces nombres varient dans le temps et selon les lieux : ils sont soit non bornés, soit bornés mais les valeurs des bornes sont inconnues. Les réseaux de VAC sont donc des systèmes asynchrones.

Voici environ dix ans que l’industrie automobile expérimente les premiers standards V2X avec des tests sur route et par simulation numérique. 

Sécurité et Efficacité 

Selon les standards actuels, ces propriétés seraient obtenues via l’envoi de messages sur événements et via le balisage périodique. Un VAC doit diffuser très fréquemment, entre 100 millisecondes et 1 seconde, des messages appelés balises.

Dans un message/balise, on trouve, en particulier, vitesse, direction, coordonnées GNSS et caractéristiques du véhicule émetteur. Ce mécanisme est inspiré de celui employé par les smartphones (à des fréquences plus faibles) pour leur géolocalisation par les antennes-relais. Chaque VAC entretient une carte environnementale (local dynamic map) rafraichie par les contenus des balises reçues. 

Le but espéré (propriété de sécurité) est d’éviter les collisions : tout VAC peut deviner les trajectoires de ses voisins (dans un rayon de 300 m environ) et décider de son comportement très fréquemment grâce à un algorithme qui traite les informations contenues dans sa carte environnementale. 

Mais ce but est illusoire, pour au moins deux raisons.

– Les algorithmes décisionnels sont propres à chaque fabricant, et sont sujets à interprétations. Il est donc impossible de démontrer que deux VAC proches ne prendront pas de décisions contradictoires engendrant alors une collision, même s’ils disposent de la même carte environnementale.

– Les communications V2X n’étant pas fiables, une balise reçue par un VAC peut ne pas être reçue par un VAC voisin de ce dernier. Les cartes environnementales sont donc potentiellement différentes, mutuellement incohérentes. Elles sont inutilisables telles quelles. On ne peut espérer recourir à un algorithme pour rétablir la cohérence (cartes identiques). En effet, des résultats d’impossibilité établis depuis 1985 pour les systèmes asynchrones (réseaux de VAC) démontrent qu’un tel algorithme ne peut exister.

Pour contourner les résultats d’impossibilité, il faut « sortir » du modèle asynchrone, et considérer le modèle asynchrone temporisé, qui est le modèle asynchrone « enrichi » par la connaissance de bornes supérieures finies des délais. Ce modèle est réalisable à condition de recourir à des protocoles radio de type déterministe, comme les protocoles TDMA par exemple, qui assurent des délais de l’ordre de 20 millisecondes en pire cas, donc comparables aux délais de réactivité des autres capteurs (radars, lidars, caméras). Avec les protocoles V2X, les délais de transmission (non bornés) sont de l’ordre de 100 millisecondes en conditions de trafic moyennement dense. 

L’autre but espéré (propriété d’efficacité) est une bonne utilisation des ressources.

Ce n’est bien évidemment pas le cas avec le balisage périodique, qui crée un gaspillage très significatif des ressources de calcul (systèmes-bord) et de communication (canaux de 10 MHz). 

Idem pour l’occupation de l’asphalte, loin d’être améliorée par les communications V2X. Les distances de sécurité entre deux VAC sont les mêmes que pour les VA. En effet, intégrer les délais V2X dans les lois de calcul des distances ne procure aucun gain, puisque ces délais sont bien trop grands. En conséquence, afin de minimiser les risques de collision, les VAC maintiennent des distances inter-véhiculaires très supérieures aux valeurs optimales ou celles maitrisées par les humains. 

Le balisage périodique peut être exploité pour créer des véhicules et des embouteillages fictifs. Pour ce faire, un VAC malveillant ou même un chariot rempli de smartphones promenés le long d’artères urbaines peut émettre des balises qui contiennent les coordonnées GNSS des artères qu’il souhaite emprunter afin de les vider frauduleusement.

Conclusion : on ne peut espérer de propriétés de sécurité et d’efficacité dans les réseaux de VAC. 

Intéressons-nous maintenant aux risques pour la santé dans l’hypothèse d’un déploiement généralisé de VAC. Vis-à-vis des communications radio, tout véhicule se trouve au centre d’un disque de rayon d’environ 300 m. En conditions de trafic dense (en ville, sur autoroute multivoies), une centaine de VAC est contenue dans un tel disque. Nous n’avons pas connaissance d’études démontrant que des expositions prolongées de signaux Wi-Fi reçus depuis une centaine d’émetteurs à des fréquences de 1 Hz à 10 Hz sont sans danger pour les passagers d’un VAC.

Les VAC étant équivalents à des smartphones-sur-roues, ils exposent leurs utilisateurs aux risques bien connus de cyberattaques et de cyber-espionnage.

Cybersécurité

Les VAC sont vulnérables aux cyberattaques distantes. Voici quelques exemples. 

1. a) Attaques par saturation

– Spectre électromagnétique : Le brouillage radio est à la portée de tout individu malfaisant ; les brouilleurs radio les plus simples coûtent moins de 200 euros. Les VAC sont « sourds et muets » au voisinage de tels brouilleurs, aussi longtemps qu’ils circulent à portée radio d’un brouilleur embarqué sur un véhicule.  Une autre attaque connue est l’interception et la falsification des signaux GNSS. Le but est de dérouter un VAC en trompant son système-bord par exemple en introduisant des décalages croissants entre sa véritable géolocalisation et celle connue par la robotique embarquée.
– Systèmes-bord : Une attaque par « déni-distribué-de-service » consiste en des envois de messages incessants jusqu’à saturer les capacités de traitement des systèmes-bord, et rendre impossible l’exécution des fonctions critiques.

1. b) Attaques sur les messages et balises par suppression ou falsification des contenus des balises/messages émis par des VAC honnêtes ou injection de messages frauduleux comme des fausses alertes.

1. c) Attaques sur les systèmes-bord : Les logiciels des systèmes-bord (les systèmes d’exploitation en particulier, Android ou iOS par exemple) ne sont pas conformes aux principes d’isolation en vigueur dans le domaine des systèmes critiques. Il est donc possible de prendre par radio le contrôle d’un VAC distant ou d’introduire un virus, Cheval de Troie, rançongiciel, etc. au sein d’un système-bord.

Outre des motivations financières, les cyberattaques distantes ont pour but de créer des conditions chaotiques pour les cibles (pas pour les attaquants), notamment des collisions (éventuellement létales – perte de sécurité) et/ou de tromper les VAC quant aux trajectoires qu’ils doivent suivre – perte d’efficacité. Ainsi, par un effet boomerang non anticipé, les communications V2X « ajoutées » aux VA pour « améliorer » les propriétés de sécurité et d’efficacité peuvent en fait compromettre ces dernières. Ces cyberattaques peuvent bien sûr être déclenchées par des VAC voisins (sur les côtés, prédécesseur, suiveur). Mais dans ce cas, une cyberattaque peut « se retourner » contre son auteur (pris dans une collision, identifié sans ambiguïté par ses victimes). Il s’agit donc d’attaques irrationnelles, bien moins probables que les attaquantes distantes. 

Un cyber attaquant peut falsifier son identifiant dans les messages et balises qu’il émet. La parade selon les standards V2X est la pseudonymisation par cryptographie asymétrique. Contrairement à l’anonymisation, la pseudonymisation permet d’établir les responsabilités en cas d’accident (accountability). Tout message/balise doit être accompagné d’un certificat délivré par un organisme habilité, et il doit être signé avec la clé privée liée à ce certificat. Un VAC récepteur peut vérifier la validité d’une signature. En cas de signature invalide, le VAC émetteur – a priori malveillant – est dénoncé auprès d’un service distant, lequel, après vérifications, « révoque » le VAC en question en annulant ses certificats. Ainsi, en cas d’accidents graves, les autorités peuvent identifier les responsables, en « renversant » les certificats. 

L’idée est qu’un VAC révoqué ne peut plus nuire, puisque ses messages seront ignorés. Cette idée est erronée. Rien n’empêche un VAC malveillant d’émettre des messages aux contenus frauduleux accompagnés de certificats et de signatures valides. Une révocation n’étant pas instantanée, un VAC malveillant a amplement le temps, avant révocation, de fomenter des cyberattaques. En outre, après révocation, ses balises étant rejetées, son existence est ignorée de tous les VAC avoisinants. Il peut donc créer à loisir des collisions.

Conclusion : pas de propriété de cybersécurité dans les réseaux de VAC. 

Protection des données Personnelles, Privacy 

Dans l’article précédent sur les VA, nous avons abordé la question de la privacy intérieure. Des données personnelles concernant les passagers sont collectées via des capteurs, comme des caméras, enregistreurs de sons, assistants à commande vocale (à l’instar de ceux que l’on installe chez soi si l’on ne se soucie pas trop de protéger sa vie privée), etc. En application des dispositions de l’art. 6.1 du règlement général sur la protection des données à caractère personnel (RGPD), les passagers doivent exprimer leur consentement ou, dans le cas contraire, être en mesure de désactiver ces capteurs, à l’exception de ceux qui sont dédiés au suivi du conducteur dans le cas des VAC de niveaux SAE inférieurs à 5. Pour ce faire, il suffit d’offrir l’option « privacy intérieure », activée via une commande tactile ou vocale. Le choix du mode « on » serait l’« acte positif clair » interdisant la collecte et le traitement des données à caractère personnel, en application des articles 4, § 11 et 7.3 du RGPD. 

Intéressons-nous à présent à la question de la privacy extérieure (écoutes et enregistrements des communications V2X). Tous les messages et balises V2X sont obligatoirement transmis « en clair ». Ils contiennent les géolocalisations GNSS et les vitesses des émetteurs. Des données à caractère personnel sont donc exposées, toutes les secondes dans le meilleur des cas. Les vertus de la pseudonymisation, rendant en principe impossible la réattribution de données à caractère personnel à une personne précise (art. 4, § 5 du RGPD), sont perdues à cause du balisage périodique. Les lois de la Physique permettent de savoir si un VAC déclarant circuler à 90 km/h, positionné en un point X sur une route, est le même que celui qui est positionné en un point Y 500 millisecondes plus tard (X et Y sont séparés de 12,5 m). Si doute il y a, il est promptement éliminé grâce au rafraîchissement continu des positions et vitesses. Ainsi, les certificats ne protègent pas du pistage, donc du cyber espionnage, quand ils sont couplés au balisage périodique. Par exemple, connaissant les débuts et fins des trajets et les arrêts récurrents aux mêmes endroits, il est facile d’inférer l’identité du conducteur ou du propriétaire d’un véhicule pisté. En fait, les VAC sont pires que les smartphones : en V2X, il est impossible de « désactiver » la géolocalisation GNSS car elle est obligatoire dans les messages et balises. 

Conclusion : pas de privacy dans les réseaux de VAC. 

Contrairement aux slogans abondamment répandus, les propriétés de sécurité et privacy ne sont pas antagonistes (elles le sont avec les standards V2X). Nous avons montré que le balisage périodique est inutile vis-à-vis de la sécurité. Aucune raison rationnelle ne peut donc être invoquée pour s’opposer à l’adoption d’une option « privacy extérieure ». Activée (via une commande tactile ou vocale) par les passagers, elle interdit les émissions de balises, ce qui rend impossible le cyber-espionnage illégitime des trajets. 

Une mise en œuvre réaliste du RGPD dans les réseaux de VA/VAC n’est pas en vue. Ainsi, ni le pack de conformité sur les véhicules connectés de 2017 de la CNIL en France, ni les Lignes Directrices 1/2020 sur le traitement des données personnelles dans le cadre des véhicules connectés et des applications liées à la mobilité (Comité européen de la protection des données) ne prévoient de fournir aux passagers un moyen simple pour refuser a priori la collecte de telles données quand les propriétés de sécurité, efficacité et cybersécurité sont garanties. Les approches fondées sur les demandes a posteriori (consultation de données enregistrées, droit à l’oubli, etc.) sont (1) inapplicables, (2) dangereuses, car les données personnelles sont multicopiées et exploitées bien avant que tout passager ait eu le temps de
réagir. Et d’ailleurs, qui peut obliger un géant du Numérique à se conformer vraiment et rapidement aux lois qui portent atteinte à ses stratégies de profits ?

Responsabilités et preuves (accountability)

Les VAC sont équipés de « boîtes noires » (enregistreurs infalsifiables). L’examen de l’historique des données enregistrées dans les secondes qui précèdent un accident permet de déterminer, dans chaque véhicule impliqué, la/les cause(s) de l’accident. L’attribution des responsabilités civiles et pénales serait donc a priori la même qu’avec les VA à un « détail » près : une cyberattaque pouvant être menée à distance, le VAC (ou les VAC en cas de
coalition) responsable d’un accident ne fait pas partie des VAC accidentés. Il faut cependant l’identifier puis le retrouver pour inspecter sa boîte noire, en même temps que celles des autres véhicules impliqués. C’est à cette condition que l’on peut établir les causes. Mais le véhicule à l’origine d’une cyberattaque distante a le temps de disparaître ou même d’être détruit volontairement avant d’être retrouvé. La détermination de la cause ou des causes d’un accident a toutes les chances d’être non triviale avec les VAC, rendant juridiquement difficile l’attribution des responsabilités.

La proposition de règlement des Nations Unies du 23 juin 2020 relative à la cybersécurité des VA, qui impose de sécuriser les véhicules by design, est à l’évidence totalement inadaptée pour les cas de cyberattaques distantes.

En France, selon l’ordonnance du 14 avril 2021 et son décret d’application du 29 juin 2021, le constructeur d’un véhicule à délégation de conduite est pénalement responsable des infractions commises pendant les périodes où le système de conduite automatisée exerce le contrôle du véhicule. Un conducteur est responsable pénalement dès qu’il reprend effectivement le contrôle du véhicule ou s’il ne le fait pas à la suite d’une demande du système. Dans le cycle qui va de la conception d’un VAC à son autorisation de commercialisation, puis à ses utilisations, il y a toujours in fine un ou des humains sur qui faire peser la responsabilité : concepteurs, développeurs, testeurs, certificateurs, gestionnaires des infrastructures routières, ou conducteurs. Il ne sert donc à rien d’inventer une personnalité juridique des « robots sur roues ».

Les assureurs savent qu’ils doivent s’adapter à ces nouveaux défis dans leurs contrats d’assurance automobile.  

Qu’attendre vraiment des VAC ?

La question mérite d’être posée puisque les standards V2X actuels ne garantissent aucune des quatre propriétés SPEC (sécurité, privacy, efficacité, cybersécurité). Il est même légitime de se demander si les VAC conformes aux standards V2X ne seront pas plus dangereux que les VA. De facto, ils sont principalement destinés à fournir aux humains « motorisés » les mêmes services et environnements (loisir, travail, éducation, informations, etc.) qu’ils utilisent lorsqu’ils sont « statiques » (domicile, bureau, etc.) – la notion de « sans couture » (seamless).

Que peut-on dire de la sécurité, de la cybersécurité et de la réduction des temps de trajets (de l’efficacité) ? À l’évidence, considérées « non prioritaires » … Et pas en vue avec les VAC qui disposent de tous les moyens pour détourner l’attention des passagers (affichage sur les tableaux de bord de publicités diverses, d’écrans des smartphones, de films, etc.), alors qu’un passager de VAC de niveau SAE inférieur à 5 doit être prêt à reprendre la conduite en manuel à tout moment si nécessaire. La contradiction avec le slogan « les VAC vous libèrent de la conduite en toute sécurité » est flagrante. 

Quant à la propriété de privacy, si rien n’est fait, elle n’existera pas plus qu’en dehors des véhicules. Les systèmes embarqués fonctionnent avec les mêmes logiciels que ceux de nos smartphones, PC, et récepteurs de télévision (environ 75% sous Android et 25% sous iOS). Les enjeux financiers des futurs marchés centrés sur les données personnelles sont trop importants pour être négligés, et les VA/VAC conformes aux standards V2X sont de fantastiques « aspirateurs » de telles données. En entrant en coopétition (compétition coopérative) avec les GAFAM et leurs équivalents chinois BHATX (voir glossaire), l’industrie automobile prend des risques, puisque le Numérique n’est pas son domaine de prédilection. Mais elle n’a pas d’autre choix si elle vise les mêmes profits que ceux dont bénéficient ces géants du Numérique.

Si les VAC présentent de multiples failles vis-à-vis des propriétés SPEC, c’est tout simplement parce que les problèmes posés sont redoutables. La conduite totalement automatisée, annoncée comme imminente dans les années 2010, serait-elle en voie d’être purement et simplement abandonnée ? Sans doute si rien ne change vraiment. Les résultats du sondage annuel AAA de février 2021 sont édifiants : “AAA’s survey found that 14% of drivers would trust riding in a vehicle that drives itself, similar to last year’s results. However, 86% either said they would be afraid to ride in a self-driving vehicle (54%) or are unsure about it (32%)”.

Notons que dans aucun de leurs projets de VA, ni Waymo (filiale d’Alphabet) ni Tesla n’envisagent l’utilisation de communications radio. C’est surprenant de la part d’industriels issus du numérique. L’explication est simple : ils ne croient pas à la pertinence des standards V2X actuels pour garantir les propriétés de sécurité et d’efficacité. Ils ont raison. Les possibilités offertes par les communications radio sont mal exploitées avec les standards V2X actuels. Les communications optiques sont inutilement ignorées.

La question que nous devons nous poser dès maintenant est très simple : dans quelle future société motorisée voulons-nous vivre ? Toutes les possibilités sont ouvertes (il n’y a pas que V2X dans notre futur). La vraie révolution de la conduite totalement automatisée éthiquement, socialement et juridiquement acceptable surviendra avec l’émergence des VNG, dont la conception ainsi que celle des réseaux qu’ils formeront sont fondées sur des innovations technologiques et diverses disciplines scientifiques peu exploitées actuellement (automation control, distributed algorithms, multiagent systems, biomimétique, etc.)..

Avec les VNG, il sera possible de démontrer les quatre propriétés SPEC. Cette condition est incontournable dans toute société motorisée soucieuse d’éthique et de respect de la vie humaine. Il est probable que dans une industrie où la propriété intellectuelle et les brevets sont des « armes » de conquête de marchés, un certain nombre de constructeurs ont d’ores et déjà
mis les VNG au programme de travail de leurs laboratoires de R&D.

Gérard Le Lann (Directeur de Recherche Émérite, INRIA Paris-Rocquencourt) et Nathalie Nevejans (Titulaire de la Chaire IA Responsable, Université d’Artois, Membre du Comité d’éthique du CNRS (COMETS)) ont publié récemment sur ces sujets.

Glossaire

AAA American Automobile Association

BHATX Baidu, Huaweï, Alibaba, Tencent, Xiaomi

CNIL Commission Nationale de l’Informatique et des Libertés

GAFAM Google, Amazon, Facebook, Apple, Microsoft

GNSS Global Navigation Satellite System (GPS, Galileo, Glonass, …)

SAE Society of Automotive Engineers

TDMA Time Division Multiple Access

VNG Véhicules de Nouvelle Génération

 [1] G. Le Lann : « Cyberphysical constructs and concepts for fully automated networked vehicles », Rapport de recherche INRIA n°9297, Octobre 2019, 64 p., disponible à https://hal.inria.fr/hal-02318242  gerard.le_lann@inria.fr 

[2] N. Nevejans : « Traité de droit et d’éthique de la robotique », LEH éd., 2017, https://www.leh.fr/edition/p/traite-de-droit-et-d-ethique-de-la-robotique-civile-9782848746685  nathalie.nevejans@univ-artois.fr

[3] L‘interview de Gérard Le Lann, au sujet de création du web, réalisée par Altitude Infra à l’occasion du World Wide Web Say : https://lnkd.in/dB28eri