Qu’attendre du "Software Defined Vehicle" ?
Les constructeurs se lancent dans le SDV. Un journal automobile titrait en février « Software Defined Vehicle : vous n'y comprenez rien ? Nous non plus ». Je vous propose ce texte en trois parties : Qu’est-ce que c’est ? Quels sont les avantages ? Quels sont les inconvénients ?
OPINIONVIE PRIVÉE
9/1/202314 min lire
Les constructeurs se lancent dans le SDV. Un journal automobile titrait en février « Software Defined Vehicle : vous n'y comprenez rien ? Nous non plus ». Je vous propose ce texte en trois parties : Qu’est-ce que c’est ? Quels sont les avantages ? Quels sont les inconvénients ?
Qu’est-ce que le SDV ?
Avant l’arrivée de cette idée car c’est une idée une voiture moderne avait entre 60 et 100 cartes électroniques, des sortes de petits ordinateurs qui assurent une ou plusieurs fonctions. Exemple un petit ordinateur gère le lève vitre ou l’essuyage automatique en cas de pluie. Même chose pour la gestion des projecteurs, de l’unité télématique, du la gestion du multimédia, du contrôle moteur, de l’ABS, de la direction assistée, des airbags, etc.
Le constructeur a donc un nombre important de sous-traitants à gérer pour toute ces unité électronique (ECU), chacun étant un projet à part entière c’est compliqué à gérer, long et couteux. Ainsi il y a quelques années certains fournisseurs ont commencés à fusionner des fonctions sur la même carte. Ainsi, par exemple, l’unité télématique pouvait fusionner avec l’e-call (obligatoire en Europe, appel des secours automatique en cas d’accident). En effet les deux ont besoin d’un accès au réseau xG and donc les fusionner a un vrai sens, moins de matériel, moins de bugs, main de poids et moins cher. La fusion apporte aussi un autre avantage concernant les mises à jour de cyber sécurité et de qualité : plus besoin de les télécharger sur les serveurs une par une et de les dispatcher a tous les calculateurs séparément (FOTA, Firmware over the air). Les constructeurs qui vantent le SDV mettent en général ce point en avant. Pourtant c’est surtout un avantage pour eux, plus que pour l’utilisateur final.
Après avoir constaté ces économies d’échelle et aussi l’accélération des innovations dans l’industrie automobile, il était évident pour les constructeurs que fusionner un maximum d’ECUs était une voie d’avenir et donc que le SDV était LA direction. Nous allons maintenant étudier les avantages de ce paradigme.
Comme nous l’avons dit, regrouper plusieurs ECUs sur le même ordinateur, permet de choisir un gros processeur avec beaucoup de mémoire et de prendre un système d ‘exploitation (OS, comme Windows mais pour les objets embarqués). L’OS permet de faire cohabiter différentes applications ensembles et d’en assurer la séparation. Comme sur votre ordinateur, plusieurs programmes semblent s’exécuter en même temps, c’est partiellement vrai. L’OS permet d’exécuter un bout de chaque programme a tour de tour et comme c’est très rapide l’utilisateur l’impression que tout s’exécute en même temps. (NDL : c’est schématisé et simplifié). La séparation des programmes est nécessaire pour éviter qu’un problème de qualité ou de sécurité sur une fonction ne perturbe d’autres fonctions. Donc notre véhicule SDV aura une grosse carte électronique qui permettra d’exécuter tous ces logiciels.
Les avantages du SDV
Un des avantages concerne les mises à jour (FOTA) puisqu’une mise a jour permettra de mettre a niveau de nombreuses fonctions en une seule fois.
Il y a un gain de place et de poids vu qu’on regroupe des boitiers en un seul et, on l’espère de consommation électrique. A ce sujet vous devez savoir que le poids grandissant des véhicules ces dernières années est un vrai problème écologique : plus de poids veut dire plus de matériaux, plus d’extraction minière, plus d’énergie pour la fabrication, le recyclage et plus d’énergie pour déplacer un véhicule plus lourd. Il est donc assez étonnant que l’Europe n’ait pas règlementé le poids maximal des véhicules comme elle réglemente leur niveau d’émission. Si on résume le SDV permet de réduire les matériaux, le poids et l’énergie pour fabriquer, recycler et déplacer la voiture. Incroyable.
Il faut comprendre que dans le domaine automobile les équipements sont très rarement vraiment standards. Chaque constructeur veut une fonction adaptée à leurs exigences spécifiques, à l’architecture de leur réseau véhicule et aux performances qu’ils exigent. Cela m’avait beaucoup surpris il y a 20 and lorsque je suis venu travailler dans l’industrie automobile. Presque tout était construit sur mesure et les standards étaient presque inexistants. Depuis du progrès a été réalisé dans les architectures logicielles et les systèmes d’exploitation mais reste fortement sur mesure.
Pour le sous-traitant automobile c’est une transformation majeure, ils ont commencé en vendant de la mécanique pure, puis il y a 25 ans environ, de la mécanique et de l’électronique, enfin beaucoup d’électronique et leurs logiciels. Avec le SDV, les sous-traitants se transforment principalement en sous-traitants informatiques. Cette transformation, si elle est bien négociée par ces équipementiers, peut permettre une forte standardisation, jamais atteinte jusqu’alors. Et on l’espère des projets moins coûteux.
Souvent sont vanté la flexibilité des architectures qui permettrai des mises à jour plus fréquents, et des évolutions de fonctionnalités tout au long de la vie du véhicule. Certains constructeurs vendent que ces mises à jour augmentent la valeur du véhicule (ou plus exactement diminue sa décote). Nous y reviendrons.
Rassembler de nombreuses fonctions dans le même ordinateur permet de collecter plus facilement des données techniques et non techniques, utiles pour les calculs de fiabilité du constructeur et aussi pour repérer des attaques informatiques complexes et généralisées. En effet des anomalies étranges remonterons vers un centre de sécurité dédié du constructeur (SOC), une vue d’une analyse statistique permettant de discerner un évènement commun a une zone géographique, un modèle de véhicule, une version logicielle ou une flotte de véhicules. La détection des attaques devient plus globale qu’avant et c’est une bonne nouvelle pour la sécurité des usagers, des pays ou des modèles du constructeur.
Donc on récapitule : des mises à jour plus faciles, rapides et fréquentes, une meilleure sécurité pour les utilisateurs, les flottes et les pays, un gain de poids et d’énergie consommée, des mises à jour de fonction en continu, l’exploitation des données de performance et de fiabilité.
Les points mitigés du SDV
Tout d’abord, la mise à jour du véhicule pour des problème de bugs et de sécurité sur un véhicule moderne nécessite de volumes de données énormes et fréquents. Sur une Tesla, une mise à jour pèse souvent 1 giga ou plus. Nous sommes donc sur des transferts en xG (a priori 5G) très conséquents et si ces voitures se généralisent un encombrement réseau qui nécessitera une orchestration délicate pour éviter les black-out. Les liaisons réseau devront être renforcées et les abonnements qui se cachent derrière ces liaisons devront être payés par quelqu’un. Personne ne parle de ce détail.
L’amélioration des fonctions concerneront uniquement la partie logicielle, il n’est pas prévu (en tout cas pas gratuitement) de mettre à jour le hardware. Ainsi imaginons que le Bluetooth disparait un jour et est remplacé par une technologie différente (et j’espère mieux) ce n’est pas le SDV qui vous permettra d’en profiter car il faudrait changer l’ordinateur de bord. On pense plutôt donc à des mises à jour très similaire aux app des smartphones, des ajouts de fonctionnalité plus sur le traitement des données pour de usages innovants. On pense aux possibilités de l’IA.
Concernant les données de fonctionnement on peut distinguer deux types de données pour simplifier. Les données techniques comme la pression dans le circuit de freinage, les éventuels codes d’erreurs qui peuvent arriver, les informations sur le véhicule (kilométrage, dernière révision, etc.). Ces données n’ont qu’un avantage pour l’utilisateur : recevoir des informations de maintenance comme « Il est temps de réviser votre véhicule » ou « vous devriez penser à changer tel ampoule qui est défectueuse », etc. Pour le constructeur c’est un déluge de données auquel il n’avait pas accès auparavant et qui permette de savoir par exemple la durée réelle de vie d’un élément de la voiture (MTBF). Cela permet de proposer de la maintenance préventive type : « il va bientôt falloir penser à changer tel ou tel équipement » alors que ce dernier n’est pas encore ne panne mais que les statistiques en temps réel montrent qu’il a de grosses chances de tomber en panne bientôt.
Ces données valent de l’or. Pour le constructeur d’abord, qui va augmenter la satisfaction de sa clientèle (moins de panne soudaine, mais pas forcément plus de fiabilité générale de la voiture), il va pouvoir plus facilement faire jouer la garantie de ses sous-traitants, voir leurs donner des pénalités financières si leur équipements ou logiciel ne respecte pas son cahier des charges initial. Notez que l’utilisateur final n’en verra pas la couleur et qu’il devra payer ses réparations dans la plupart des cas. On peut même imaginer que ces données soient anonymisées (sachant que l’anonymisation est souvent réversible) et vendues à des sous-traitants, des concurrents ou des cabinets de conseil qui les utiliseront pour faire des études marketing. L’utilisateur final, ne bénéficiera pas de cette manne. Manne qui est continue puisque l’on ne vend pas seulement un jeu de données mais un flux continu. De l’argent frais va régulièrement rentrer dans la poche du constructeur. Pour être honnête, Windows et Mac OS avec leur données de télémétrie font pareil mais ces données sont un peu moins intéressantes.
L’autre catégorie de données est les données relatives à l’utilisateur. Ces données sont nombreuses, nombre d’heures conduite, style de conduite, évolution du style au cours du temps, consommation au Km, fréquence du plein ou de recharge de la batterie, kilométrage mensuel, ou journalier moyen. Horaire d’usage de la voiture, chaine de radio utilisées, nombre d’usager du véhicule, lieux de parking habituels, etc… Suivant les capteurs embarqués on peut imaginer plein de choses. Si l’on a un capteur sur les sièges qui sait mesurer approximativement le poids de l’occupant on peut imaginer que ce soit collecté aussi.
Qui possède les données de la voiture ?
La question qui entoure toutes ces données est centrale et énorme : qui possède quoi. Les données techniques appartiennent-elle au constructeur car il est constructeur ? Ou, autre façon de voir les choses : l’acheteur a payé pour un hardware (la carcasse du véhicule) et le software qui va avec (toutes les fonctionnalité logicielles). Car si c’est le cas, vu qu’il a payé pour tout le développement du véhicule y compris des fonctions de collectes de données, ses fameuses données sont au propriétaire et il peut donc décider de ne pas les céder ou les céder au constructeur contre rémunération ? Il est bien évident qu’en dehors de toute réglementation le constructeur se les approprie, pour l’instant.
Si l’on parle des données de conduite, c’est a dire celles générées par les utilisateurs du véhicule, il semble clair qu’elles devraient appartenir a celui qui les génèrent qui pourrait en disposer comme bon lui semble.
De l'usage créatif des données...
Quels autres usages peut-on imaginer avec ces données ? Les vendre aux autorités pour traquer les infractions. Vous perdez votre permis et vous continuez a conduire… Vous conduisez a 130 sur une portion limitée à 90. Vous vous garez à un endroit interdit. Les données vendues aux assureurs : en échange d’une conduite prudente, calme et respectueuse des règlementations vous payerez moins d’assurance. Vous payez l’assurance au kilomètre réellement parcouru, et en temps réel : vous faites 100km vous êtes prélevé de 2 euros d’assurance. Vous payez en fonction de l’endroit où vous allez et vous garez : vous visitez un ami dans une zone ou les vols ont explosés ces derniers temps, vous recevez une facture supplémentaire en fonction du temps de la visite et du lieu.
Des usages créatifs peuvent être envisagés : un abonnement a une application dans la voiture vous donne en temps réel des conseils pour consommer moins et améliorer votre style de conduite. L’abonnement a cette application et l’amélioration effective de votre conduite permet a votre assurance de baisser un peu votre prime. Toutes ces idées que j’ai inventées sont plausibles, reste à savoir si les utilisateurs seront d’accord et si la réglementation le permettra dans le futur.
La vision de la CNIL...
Notons que la CNIL précise le contexte d’usage des données des véhicules ici :
J’expliquais cela dans une conférence à Berlin en 2019 : 3 scénarii sont envisagés :
IN - IN : les données collectées sont traitées directement dans le véhicule et n’en sortent pas du moins pas en temps réel. C’est le cas d’usage le moins risqué pour le respect de la vie privée. Mais vous le devinez, le moins probable à l’avenir. Exemple : votre style de conduite consomme beaucoup d’énergie, la voiture vous prévient.
IN - OUT : on collecte et on envoi. Exemple : données de fiabilité sans retour d’information utilisateur, usage constructeur uniquement.
IN - OUT - IN: on collecte, on envoie les données brutes, elles sont analysées dans le cloud et un retour d’information est reçu par le véhicule. C’est le cas le plus risqué pour la CNIL. Exemple : « veuillez penser à prévoir de changer… » les données analysées dans le cloud indiquent une fin probable du bon fonctionnement d’un équipement.
Donc pas de réglementation autre que le règlement européen sur les données privées et la CNIL a tout prévu.
Donc pourquoi s’inquiéter ?
Pour cela :
Nissan reconnaît capter un large éventail de renseignements jusqu’à obtenir des données sur l'activité sexuelle des clients, leurs diagnostics médicaux, sans toutefois préciser comment. Le groupe nippon dit vendre leurs “préférences, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, intelligence, capacités et aptitudes” à des courtiers en données, aux autorités ainsi qu'à d'autres acteurs tiers!
Toutes ces données collectées nécessitent des moyens dans le cloud pour leur analyse. C’est ainsi que Renault annonçait un accord avec Google :
Rappels "Safe Harbor", "Privacy Shield" et "Data Privacy Framework"
Rappelons a cet égard que le transfert des données des européens vers l’étranger est fortement réglementé mais, hélas avec une porte dérobée américaine. J’ai déjà écrit sur ce sujet. Lorsque la règlementation RGPD est sortie, une liste de pays de confiance était attenante. Dans cette liste figurait les États-Unis. Il n’a pas fallu longtemps pour que certains critique cette disposition. En effet les État Unis n’offre aucune garantie comparable au RGPD et considérer le contraire était un abus grave. On peut imaginer un lobbying intense des américains (mais pas que) pour figurer dans la liste. Pour réaliser ce tour de passe-passe, un cadre juridique dénommé Safe Harbor a été créé. Ce document juridique n’était pas au niveau et Maximillian Schrems, un activiste autrichien militant étudie le document, détecte la supercherie et porte plainte auprès de la cour de justice Européenne. Le 6 octobre 2015, le "safe harbor" est invalidé. La Cour considère que les États-Unis n'offrent pas un niveau de protection adéquat aux données personnelles transférées. Catastrophe, nous sommes dans un trou juridique, des transferts de données on lieu depuis toujours et l’invalidation les rend illégaux. Une incertitude juridique qui conduira a une période transitoire et à l’élaboration du "Privacy Shield". L’histoire se répète, Schrems étudie le nouveau document (évidemment) et il le juge a peine mieux que le précédent : en juillet 2020, l’invalidation du "Privacy Shield". Depuis, nouveau vide juridique, mais « business as usual » puis que tout le monde brade les données des Européens vers les US comme si de rien n’était. Un nouveau document est en cours d’écriture, le "Data Privacy Framework" on se dit que cette fois le nécessaire sera fait, vous y croyez ? Pas du tout, Schrems qui a étudié le document préliminaire indique sur X (ex-Twitter) qu’il l’attaquera à nouveau, qu’il gagnera surement et qu’il s’attend a devoir jouer a cela jusqu’à sa retraite (il a aujourd’hui 35 ans). Le député français Philippe Latombe a aussi tenté un recours dont on ne sait pas s’il sera accepté.
Contexte : "Patriot Act" et "Cloud Act"
Afin de comprendre ce qui bloque : en mars 2018 la promulgation du Cloud Act dans la lignée des article liés au Patriot Act (11 septembre 2001). Ce texte rend légale la saisie de tout courrier électronique ou autres données numériques stockées sur des serveurs américains, y compris à l’étranger. Les grands acteurs locaux du Cloud et leurs filiales doivent s’y conformer. C’est fortement incompatible avec la RGPD. Les accords avec les géants du cloud américains qui imposent des transferts illégaux sont à risques pour ceux qui les font a cause de cette invalidation et des suivantes, dommage que l’Europe ne s’organise pas pour créer son géant du cloud… Fin de la digression.
Dérapages...
Si un cadre européen et français est présent, l’automobile s’en est clairement affranchis pour l’instant puisque sur les 25 véhicules étudiés de constructeurs très différents incluant aussi bien BMW, Renault que Tesla ou encore Volkswagen, tous présentent de graves lacunes sur la confidentialité des données. Il faudra donc que la CNIL prenne ses responsabilités et que les premières amendes (jusqu’à 4% du chiffre d’affaires mondial, ça peut faire mal) soit distribuées. Néanmoins cette affaire montre que lorsqu’on parle SDV les yeux des constructeurs sont remplis de dollars ou d’euros et qu’il faudra que quelqu’un siffle la fin de la récréation et ca ne va pas être simple vu les sommes potentiellement en jeu. A suivre.
Si l’on parle des fonctions de mise à jour régulières, qui selon les plaquettes des constructeurs augmenterons la valeur du véhicule, il parait évident qu’elles seront au moins en partie payantes, une nouvelle source de revenue pour le constructeur. C’est ce qui se passe exactement avec Tesla, toutes les fonctions sont présentes dans le véhicule mais activées suivant vos payements. Nous pourrons avoir des fonction payante une seule fois ou sur abonnement mensuel. Gageons que ce sera préféré car apportant un revenu régulier et complémentaire. De fait l’argument que la voiture maintien une certaine valeur ajoutée au cours du temps est surement faux si les ajouts sont payants et encore plus s’ils sont payants mensuellement !
Les mise à jour de sécurité sont une charge supplémentaire que l’on ne sait pas encore très bien qui va les payer. J’explique : sur votre ordinateur vous avez plusieurs cas, les mises à jour de Windows ou Mac OS qui sont gratuite mais, durant un certain temps de quelques années. Dans le cas de Windows il faudra repayer une nouvelle version pour être couvert de nouveau, dans le cas de Apple, ils n’arrêtent de supporter les hardwares au bout d’un certain temps (plus long que Windows en général) mais pour rester à jour et en sécurité il faut à un moment racheter un ordinateur. Dans les deux cas on paye a un moment ou à un autre. Comme nos voitures deviennent des ordinateurs, ce sera la même problématique : il est probable qu’une couverture initiale de sécurité sera offerte dans le prix de la voiture puis après il faudra souscrire a un abonnement pour être couvert durant des années. Un peu comme les anti-virus sur les ordinateurs, ils sont sur abonnement annuel. Une autre source de revenu donc pour le constructeur.
Enfin, l’inconvénient majeur d’un ordinateur central, et c’est paradoxal, sera que s’il tombe en panne la facture sera salée. Sans la main d’œuvre la facture s’élèvera surement a plus de mille euros voire plusieurs milliers d’euros. Il y aura, comme sur les Tesla, une possibilité de mise à jour hardware à peu près au même prix. Cela permettra, moyennent finance d’avoir un véhicule technologiquement a jour. Je vous laisse juger si c’est un avantage ou in inconvénient. Il faut aussi savoir qu’une erreur basique sur l’ordinateur central (comme l’oubli de désactiver une fonction de test qui stocke un gros volume de données) pourra avoir des conséquences catastrophiques, comme l’usure des mémoires flash nécessitant le remplacement de la carte entière. Ce n’est pas de la science-fiction :