Bornes de recharge des Véhicules électriques : Nouvelle cible des hackers ?

Fiabilité

La transition vers les véhicules électriques s’accélère, cependant la sécurité entourant les véhicules électriques reste encore à améliorer.

Des vulnérabilités inquiétantes dans les systèmes de recharge pourraient donner aux pirates l’accès à des données personnelles, leur permettre de prendre le contrôle des véhicules, ou même de perturber les réseaux électriques locaux en activant simultanément des centaines, voire des milliers de bornes.

Avec environ un million de nouveaux VE (Véhicule Électrique) mis en service chaque année aux États-Unis comme en Europe, la sécurisation des points d’accès sur un vaste réseau d’unités d’alimentation connectées à Internet, géographiquement dispersées et physiquement exposées, constitue un défi majeur.

Si les conducteurs doivent surmonter l’anxiété liée à l’autonomie. Quant aux organismes de régulation, ils doivent être convaincus que les systèmes de recharge ne compromettront pas les infrastructures énergétiques critiques. Pour avancer, ces obstacles doit être levés.

À RETENIR

  • De nombreuses bornes de recharge pour véhicules électriques présentent des vulnérabilités techniques qui exposent les conducteurs aux cyberattaques
  • Les problèmes sont bien connus, mais la course pour remplacer les moteurs thermiques par des moteurs électriques relègue parfois la cybersécurité au second plan
  • Il existe déjà un écart béant entre le nombre de bornes de recharge publiques disponibles et le nombre de VE en circulation. Les unités de recharge à domicile sont indispensables pour la plupart des propriétaires de VE
  • Mais les bornes de recharge grand public manquent de normes de sécurité cohérentes. Pour l’instant, les conducteurs doivent prendre des mesures de base pour s’assurer que leurs bornes sont aussi résistantes que possible aux piratages

Comment le piratage des bornes VE menace les données personnelles et le réseau électrique

Un Choc pour le Système

Une nouvelle voiture moyenne contient entre 100 et 150 millions de lignes de code, les véhicules électriques se situant dans la tranche supérieure du spectre.

Alors que les constructeurs ajoutent toujours plus d’unités de contrôle électronique (ECU) pour supporter de nouvelles fonctionnalités et la connectivité, les chiffres de Peugeot prévoient que ce nombre va bientôt grimper à 300 millions.

Une telle complexité de code crée une énorme surface d’attaque, constituant une nouvelle menace de cybersécurité que les criminels et les fraudeurs sont désireux d’exploiter.

Connecter un VE à une borne de recharge pourrait être tout ce dont un futur pirate aura besoin pour déclencher une attaque.

Les chercheurs de Checkpoint Software ont récemment écrit que les points de recharge VE et les réseaux cloud auxquels ils se connectent peuvent présenter des failles fondamentales.

Ils ont déclaré :

En raison de leur nature dispersée, les sites de recharge VE et les réseaux d’énergie distribués s’appuient fortement sur la connectivité Internet et les plateformes SaaS pour la gestion à distance, la maintenance et l’optimisation du réseau énergétique.

Construits sur des architectures, protocoles et contrôles de flux d’énergie uniques, Checkpoint affirme que les réseaux de recharge sont criblés de risques de cybersécurité VE.

Ces risques sont notamment visibles autour des éléments suivants :

  • Connexions Internet non protégées,
  • Absence de segmentation réseau,
  • Exigences rudimentaires en matière d’authentification et de chiffrement,
  • Actifs énergétiques non gérés.

Ces vulnérabilités ont conduit à quelques incidents très médiatisés – même si relativement inoffensifs.

  • Les bornes de recharge VE sur l’autoroute Moscou-Saint-Pétersbourg ont été piratées au début de la guerre en Ukraine en 2022, affichant des messages anti-Poutine sur leurs écrans.
  • Quelques mois plus tard, trois bornes de recharge d’un parking sur l’île de Wight au Royaume-Uni ont été piratées pour afficher du contenu pornographique.
  • Une menace plus sérieuse a été découverte par Shell l’année dernière, contraignant l’entreprise à corriger une base de données qui aurait pu exposer les données personnelles contenues dans des millions de journaux de recharge générés par son vaste réseau de recharge VE.

Les preuves d’une menace croissante s’accumulent

Ce n’est pas la première fois que les experts en sécurité tirent la sonnette d’alarme concernant les bornes de recharge VE.

En 2020, des chercheurs de l’Université de New York (NYU) ont mené une cyberattaque simulée sur plusieurs bornes de recharge haute puissance à Manhattan.

En utilisant des données publiques de la branche new-yorkaise d’ISO, de l’Administration américaine d’information sur l’énergie et d’autres sources, ils ont découvert que si des pirates pouvaient activer simultanément les chargeurs de 1 000 véhicules électriques, cela suffirait à surcharger et faire tomber le réseau électrique local, provoquant une panne d’électricité à l’échelle de la ville.

Le professeur Ramesh Karri de l’École d’ingénierie électrique et informatique Tandon de NYU a déclaré :

La simulation était un signal d’alarme qui devrait encourager le public et les décideurs à prendre des mesures pour protéger les données générées entre les voitures électriques et les bornes de recharge dont la plupart pourraient être détournées par un pirate avec des compétences de niveau universitaire.

Plus récemment, une étude de l’Université Concordia à Montréal a mis en évidence plusieurs catégories de vulnérabilités graves. Parmi ces failles, les chercheurs ont souligné la capacité d’allumer ou d’éteindre les chargeurs à distance ou de les utiliser comme tremplins pour installer des logiciels malveillants.

Quelle est la méthode des hackers VE ?

En 2021, le laboratoire britannique de cybersécurité Pen Test Partners a effectué des tests sur six bornes de recharge VE domestiques populaires et a découvert de multiples problèmes :

  • Une borne utilisait un module de calcul Raspberry Pi obsolète avec une carte de circuit facilement détachable contenant des données sensibles comme les identifiants d’accès et la clé pré-partagée du réseau Wi-Fi local
  • Une autre ne nécessitait aucune autorisation utilisateur. En utilisant simplement un ID d’appareil court et prévisible, les pirates informatiques ont pu obtenir l’accès et prendre le contrôle total de la borne
  • Le même produit manquait également de signature du firmware, ce qui signifie qu’un nouveau firmware malveillant pouvait être installé à distance, faisant de la borne un vecteur potentiel pour pénétrer dans le réseau domestique

Cette année, les chercheurs du laboratoire de recherche sur les cybermenaces de VicOne ont découvert des vulnérabilités dans les bornes de recharge VE vendues par Emporia, un fabricant primé d’outils de gestion de l’énergie domestique.

Ils ont trouvé une interface de programmation série exposée sur la carte de circuit de la borne de recharge Emporia. Cette vulnérabilité pourrait permettre aux hackers de « falsifier les contrôles, remplacer le firmware, voler des informations sensibles, obtenir un accès root ou modifier l’appareil pour effectuer d’autres attaques. »

En écho aux conclusions de Concordia, ces faiblesses auraient pu donner aux pirates informatiques le pouvoir de contrôler quand et comment les véhicules électriques se rechargent.

Ces failles pourraient engendrer des problèmes voyant les conducteurs décrouvrir leurs batteries vides, mais aussi des risques bien plus graves. En effet, cela pourrait ouvrir la porte à une attaque massive du type modélisé par NYU qui peut s’avérer attrayant pour un acteur étatique malveillant.

Ce que l’industrie fait à ce sujet

Alors que les déploiements d’infrastructures de recharge nationales s’accélèrent, les gouvernements, les régulateurs et les fabricants d’appareils prennent des mesures pour résoudre le problème du piratage des bornes VE.

La loi sur les infrastructures de 2021 de l’administration Biden comprenait 7,5 milliards de dollars de financement pour étendre le réseau de recharge de véhicules électriques américain. L’année dernière, la Maison Blanche a publié une mise à jour de l’initiative qui incluait de nouvelles normes de cybersécurité pour les bornes de recharge VE.

Au Royaume-Uni, les réglementations sur les véhicules électriques annoncées en 2021 définissent des exigences de sécurité spécifiques pour les bornes de recharge VE, notamment des alertes en cas de détection de falsification, des normes minimales pour le chiffrement et l’authentification, ainsi que la capacité de délai aléatoire.

Cela aiderait à minimiser l’impact d’une attaque au niveau du réseau en fixant aux bornes un délai d’activation/désactivation aléatoire allant jusqu’à dix minutes.

Les préoccupations demeurent. Les nouvelles normes annoncées par la Maison Blanche ne s’appliquent qu’aux appareils financés par la loi sur les infrastructures, ce qui signifie que les plus de 100 000 unités domestiques installées par les consommateurs américains ne sont pas couvertes. Il y a aussi des questions sur ce qui constitue les meilleures pratiques en matière de sécurité des bornes VE.

L’Institut National Américain des Normes et de la Technologie (NIST) développe un cadre de sécurité basé sur les risques pour les bornes de recharge VE afin de guider la future réglementation, tandis que le laboratoire national Sandia du Département de l’Énergie a publié des recommandations pour les fabricants de bornes.

Alors que les règles, les normes et les définitions évoluent, les experts s’accordent à dire que l’objectif final devrait constituer un ensemble complet de règles pour les VE modelé sur la loi américaine de 2022 autour de la protection et la transformation de la cybersanté.

Ce que les conducteurs peuvent faire

Pour l’instant, la gamme d’options disponibles pour les conducteurs pour améliorer la sécurité des bornes VE s’avère limitée.

Contrairement aux voitures disposant d’un moteur à combustion interne qui remplissent leurs réservoirs avec un liquide physique, les batteries VE sont remplies d’électrons. Pour que la recharge ait lieu, une connexion de données doit être établie entre la borne et le véhicule.

Par définition, cela signifie que les VE pourraient être vulnérables au piratage. Pour minimiser le risque et améliorer la cybersécurité de votre véhicule électrique, les experts suggèrent de faire trois choses :

  1. Éviter les bornes douteuses. Les marques à bas prix ou moins connues provenant de sites de commerce électronique de bas de gamme pourraient avoir des mesures de chiffrement et d’authentification faibles ou inexistantes, ou présenter des défauts logiciels pouvant être exploités par les hackers.
  2. Maintenir les logiciels et firmwares à jour. Si vous recevez une notification qu’un nouveau correctif logiciel de borne VE est prêt à être installé, ne tardez pas.
  3. Rester hors ligne. Si l’appareil le permet, ne le connectez pas à Internet – ou connectez-vous uniquement occasionnellement pour obtenir les dernières mises à jour logicielles. Restreindre les bornes à une utilisation manuelle signifie que vous perdrez certaines fonctionnalités à distance, mais les cybercriminels auront aussi plus de mal à les compromettre ou à les zombifier à distance.

En Conclusion

Il existe une grande disparité entre le nombre de bornes de recharge VE publiques et le nombre de VE sur les routes américaines (environ 192 000 points de recharge pour plus de 3,3 millions de véhicules).

Malgré l’ajout estimé de 1 000 nouvelles bornes aux réseaux publics chaque semaine, des unités domestiques munies d’une protection de sécurité grand public sont désormais nécessaires pour combler l’écart.

Avec des millions de VE déjà en service et des millions d’autres prévus d’ici 2030, sécuriser les bornes de recharge VE publiques et privées sera une exigence cruciale pour maintenir la transition VE sur la bonne voie.

Les bornes de recharge VE peuvent-elles être piratées ?

Les gens peuvent-ils voler les câbles de recharge VE ?

Quels sont les risques de cybersécurité découverts dans les bornes VE ?

Comment empêcher quelqu’un d’utiliser ma borne VE ?

Une surtension peut-elle endommager un VE ?

Termes connexes

Articles Liés

Vincent Grethen
Responsable d'édition

Diplômé de l'Ecole de Journalisme de Louvain La Neuve en Belgique, c'est finalement le monde du contenu en ligne qui m'a permis d'assouvir ma passion pour l'écriture. Depuis plus de 10 ans, j'explore divers secteurs, notamment le bien-être, le médical ou encore le tourisme. Cette polyvalence est mon atout majeur pour capter l'attention des lecteurs et des lectrices. Aujourd'hui, ma plume évolue au rythme des innovations, au service des passionnés de technologie, toujours avec le même plaisir de jouer avec les mots.