Comment l'IA redéfinit les tests de flou pour les logiciels automobiles

Dans un épisode de juillet 2025 du podcast « Empowering Tomorrow's Automotive Software », l'animateur Zane Pelletier, responsable des services Enterprise et ICS Security Services pour les Amériques chez ETAS, et son invitée Irina Nicolae, chercheuse au Bosch Center for Artificial Intelligence, ont discuté de l'utilisation de l'IA dans les tests de fuzz intégrés pour les modules automobiles.

Le podcast souligne que les tests de fuzz guidés par l'IA constituent une approche prometteuse pour améliorer l'efficacité et l'efficience des tests de cybersécurité automobile. Nous avons mis en avant certains des sujets abordés dans cet article. Vous pouvez écouter l'épisode complet ici ou sur votre plateforme de podcasts préférée (Spotify, Apple Podcasts, Amazon Music, iHeart Radio, etc.).

Qu'est-ce que le test de fuzz intégré ?

Le test de fuzz est une technique de cybersécurité qui consiste à envoyer des entrées pseudo-aléatoires soigneusement conçues aux interfaces d'un appareil afin d'identifier les bogues logiciels ou matériels. L'objectif est de surveiller les événements indésirables, notamment les défauts de réponse, le déclenchement d'un temporisateur de surveillance ou d'autres conditions pouvant signaler un problème de sécurité ou une faille critique pour la sécurité.

Contrairement aux tests de fuzz pour les logiciels informatiques traditionnels, les tests des dispositifs embarqués dans les véhicules présentent des défis uniques. Ces dispositifs, tels que ceux destinés au freinage ou au contrôle du groupe motopropulseur, sont souvent essentiels à la sécurité. De plus, bon nombre des protocoles de communication sont propriétaires et mal documentés, ce qui rend le processus de recherche de bogues comparable à la recherche d'une aiguille dans une botte de foin. En outre, chaque contrôleur est différent, ce qui oblige les testeurs à repartir de zéro à chaque nouveau test. La nature pseudo-aléatoire des tests de robustesse n'est pas efficace et nécessite beaucoup de temps et de ressources matérielles.

ETAS propose une solution, CycurFUZZ, qui améliore la robustesse et la cyber-résilience de vos systèmes automobiles tout au long du processus de développement et de validation. CycurFUZZ détecte 66 à 600 % de vulnérabilités liées à la sécurité et de défauts logiciels non détectés en plus par rapport aux autres outils disponibles.

Le rôle de l'IA dans l'amélioration des tests de robustesse

L'idée d'utiliser l'IA est venue du constat que des bogues similaires étaient régulièrement détectés dans différents modules, voire chez différents fournisseurs. Pour pallier les inefficacités du fuzzing traditionnel, Zane Pelletier et son équipe, en collaboration avec le Centre Bosch pour l'intelligence artificielle, ont décidé d'essayer de former un modèle d'apprentissage automatique afin qu'il prenne en compte les problèmes historiques et comprenne le modèle de menace pour les réseaux automobiles.

Le podcast détaille le projet, expliquant que l'équipe a utilisé un modèle basé sur un transformateur, similaire à ceux utilisés dans les grands modèles linguistiques (LLM). Le modèle n'a pas été entraîné pour générer simplement de nouveaux cas de test de manière aléatoire, mais pour prédire les octets suivants dans une séquence de données en fonction du flux d'entrée, ce qui lui permet de générer des cas de test plus intelligents et plus susceptibles de détecter un bug.

La réussite du projet dépendait fortement de la qualité des données d'entraînement. L'équipe a compris qu'il était essentiel d'utiliser des données de trafic réelles, car celles-ci permettaient au modèle de mieux comprendre à quoi ressemble un trafic réseau « normal », ce qui est indispensable pour identifier les anomalies. L'importance de la phase de réglage fin a également été soulignée, car cette étape a permis à l'équipe d'adapter le modèle à des modules et protocoles de communication spécifiques, augmentant ainsi son efficacité.

La défaillance la plus courante détectée au cours de ce processus est un déni de service (DoS), qui rend le module incapable de répondre aux autres parties du réseau du véhicule. Cela est particulièrement dangereux dans les réseaux automobiles, où les modules doivent répondre en quelques millisecondes. Parmi les autres défaillances, on peut citer le plantage de la pile de communication ou le contournement de l'authentification de sécurité sur un module.

Grâce à l'intelligence artificielle, les inefficacités traditionnelles des tests de robustesse intégrés sont désormais surmontées. Ce projet et cette collaboration démontrent une approche réussie, axée sur les données, qui va au-delà des entrées pseudo-aléatoires pour cibler intelligemment les vulnérabilités potentielles. Cette méthode représente une avancée significative dans la sécurisation des véhicules de demain, de plus en plus complexes et connectés.