Parler à un expert
Parler à un expert

Automotive

Constructeurs, OEM, Equipementiers, ECU

Un véhicule, 150 ECU. Un seul peut tout compromettre.

494 incidents documentés en 2025, dont 44% de ransomwares. JLR : 1,9 Md£ de dommages en septembre 2025. R155 bloque le type approval EU sans conformité cybersécurité. Les véhicules sont des systèmes cyber-physiques où une vulnérabilité embarquée touche des millions d’unités via une mise à jour OTA.

1
Incidents cybersécurité automotive documentés en 2025 (Upstream Security)
1 %
Des incidents 2025 sont des ransomwares — doublement vs 2024
R 1
Type approval EU impossible sans conformité cybersécurité démontrée
1 %
Des attaques 2025 réalisées à distance — sans accès physique au véhicule

Un secteur cyber-physique sous feu en 2025

JLR, Stellantis, CDK : vague coordonnée en septembre 2025
Les groupes HELLCAT, ShinyHunters, BlackCat ont ciblé l'écosystème automotive simultanément. CDK Global 2024 : 15 000 concessionnaires US paralysés. La supply chain numérique automotive est systémiquement exposée via des prestataires partagés.
Un pipeline OTA compromis = des millions de véhicules affectés
Les mises à jour OTA touchent simultanément toute une flotte. Un pipeline non sécurisé permet de déployer du code malveillant sur des millions de véhicules. Signing, chiffrement du canal, vérification dans l'ECU — rarement audités en profondeur.
Injection de commandes sans authentification native
Le CAN bus classique n'a pas d'authentification. Un accès au bus permet d'injecter des commandes arbitraires : freins, moteur, direction. AUTOSAR SecOC est la réponse — mais son implémentation est rarement testée offensivement.
Type approval bloqué sans cybersécurité démontrée
R155 impose une évaluation cybersécurité pour tout nouveau type de véhicule en EU, UK, Japon, Corée. ISO 21434 est le standard d'implémentation. Son application réelle exige des audits techniques — pas des checklists.

Ce que Quarkslab apporte

QREDTEAM

ADVERSARY SIMULATION

  • Red team véhicule complet — OTA, CAN, infotainment, V2X, télématique
  • Simulation pivot infotainment vers ECUs critiques (freins, direction, moteur)
  • Test sécurité pipeline OTA — signing, canal de distribution, vérification ECU
  • Red team infrastructure de production et supply chain Tier-1/2
  • Pentest bornes de recharge EV (OCPP, EVSE) — firmware injection, escalade
Découvrir QRedTeam

QLAB

DEEP SECURITY RESEARCH

  • Reverse engineering firmware ECU (Bosch, Continental, Denso, NXP) sans sources
  • Analyse hardware JTAG/UART sur ECUs — extraction de clés, interfaces de debug
  • Recherche 0-day protocoles CAN, Automotive Ethernet, UDS, DoIP
  • Audit implémentation AUTOSAR SecOC et mécanismes de sécurité OTA
  • Audit supply chain composants — backdoors dans firmware Tier-2/3
Découvrir QLab

QSHIELD

SOFTWARE PROTECTION

  • Protection firmware ECU contre reverse engineering concurrent et étatique
  • Anti-clonage pour équipementiers exportant vers marchés à risque
  • Protection IP algorithmes ADAS, conduite autonome et gestion batterie
  • Obfuscation des fonctionnalités software-defined et systèmes de licences
  • Protection firmware bornes EV contre extraction et modification frauduleuse
Découvrir QShield

DIFFÉRENCIATEUR QUARKSLAB

Les tests automotive traditionnels sont fonctionnels — pas offensifs. Quarkslab apporte la profondeur que R155 exige réellement : reverse engineering de firmware ECU sans sources, exploitation de protocoles CAN, audit matériel JTAG/UART. QShield protège votre IP ADAS contre le reverse engineering concurrent — un différenciateur absolu qu’aucun acteur du test automotive traditionnel ne peut offrir.

Ce que nous nous dirions en face à face

Vos ECUs ont-ils été audités avec les techniques qu’un attaquant utiliserait réellement pour les compromettre ?

Les tests de conformité R155 vérifient des checklists. Les red teams automobile offensifs — ceux qui essaient réellement de compromettre le véhicule en exploitant des vulnérabilités de firmware — sont une toute autre discipline. JLR pensait avoir des défenses suffisantes en septembre 2025.

Au-delà du checklist de conformité
Nous auditons vos ECUs avec les techniques qu'un adversaire utiliserait — pas les tests R155 minimaux. La différence entre passer l'audit et être réellement protégé.
Sans accès aux sources — comme un attaquant
Nous reverse-engineerons le firmware de vos ECUs sans code source. Et nous vous disons ce qu'un chercheur hostile y trouverait.
Le pipeline le plus risqué — toute la flotte
Un OTA compromis touche toute votre flotte simultanément. Nous testons l'intégralité du pipeline.
Vos algorithmes, inviolables
QShield protège le firmware de vos ECUs. Vos algorithmes ADAS restent votre propriété exclusive.
Nos publications & CVE
Evaluer votre conformité réelle