Bornes de recharge : cibles désirables pour les pirates informatiques
Plus tôt cette année, des bornes de recharge sur l’île de Wight en Angleterre affichaient de la pornographie sur leurs écrans. D’autres, sur une autoroute près de Moscou, auraient affiché une insulte vulgaire destinée au président russe Vladimir Poutine en signe de protestation contre l’invasion de l'Ukraine.
Ces incidents récemment rapportés par la BBC ne sont pas isolés. Les véhicules sont de plus en plus connectés, ce qui les rend plus vulnérables aux pirates informatiques. Les diverses fonctionnalités automobiles passent généralement par les applications sur téléphone intelligent, ce qui signifie que les véhicules sont aussi connectés au quotidien de leurs usagers.
- À lire aussi: Circuit électrique : hausse de prix pour les bornes de niveau 2
- À lire aussi: Tesla compte ajouter plusieurs nouvelles bornes au Québec en 2022
Dans le cas des véhicules électriques, un autre facteur de risque informatique se manifeste : ils doivent être connectés sur des bornes de recharge pendant de longues périodes.
Au cours des dernières années, nous avons vu des rapports sur des incidents concernant des véhicules de toutes marques, électriques ou non, qui ont été piratés, déverrouillés et même démarrés par des pirates informatiques qui se trouvaient parfois à des milliers de kilomètres du véhicule cible.
Selon une étude récente d’Upstream Security, un fournisseur israélien de plates-formes de cybersécurité automobile, les stations de recharge des VÉ sont dorénavant des cibles attrayantes pour les pirates.
Alors que les attaques seront appelées à se multiplier à mesure que les réseaux de recharge se développeront, l’argent pourrait devenir la principale motivation. Les pirates peuvent trafiquer les chargeurs pour éviter de payer les frais de charge, ou même pour obtenir une rançon, en bloquant les utilisateurs de la charge jusqu’à ce qu'ils paient.
« Les cybercriminels veulent gagner de l’argent de la manière la plus simple possible. S’ils doivent se connecter physiquement aux véhicules, cela peut être difficile. Mais s’ils peuvent trouver des moyens de pirater à distance, c'est de cette manière qu’ils peuvent bâtir une entreprise criminelle à grande échelle », a déclaré Yoav Levy, grand patron d’Upstream Security.
Quels sont les risques pour les consommateurs?
En ce qui concerne les rançons, selon Upstream Security, les risques pour les consommateurs ne sont pas aussi importants que ceux pour les flottes de véhicules et les entreprises, pour le moment.
« Un consommateur va-t-il payer un rançongiciel pour libérer sa station de recharge à la maison? Je ne le pense pas », a-t-il déclaré. « Mais si c’est une flotte ou une entreprise qui est attaquée, celle-ci fait face à un risque plus important », estime Yoav Levy.
D’une part, les bornes de recharge sont connectées aux données internes du véhicule, ce qui les rend vulnérables au piratage. De plus, elles sont connectées à des réseaux électriques, ce qui pourrait menacer des infrastructures urbaines complètes - pas seulement les stations elles-mêmes.
Du côté du Circuit Électrique et d’Hydro-Québec, on affirme être bien au courant de la situation et que de nombreuses mesures sont prises pour contrer le phénomène et protéger les usagers. « Nous sommes très sensibles à la question de la cybersécurité. Ces risques sont gérés de manière proactive et intégrés à plusieurs étapes de nos opérations », explique Jonathan Côté, conseiller stratégique, communication d’entreprise Affaires publiques et médias chez Hydro-Québec.
Les universités canadiennes s’impliquent
Dans un article publié dans la revue Computers & Security, une équipe de chercheurs dirigée par l’Université Concordia à Montréal a étudié les vulnérabilités de certaines des stations de recharge de VÉ les plus populaires.
Le groupe du Centre de recherche sur la sécurité de l’École de génie et d’informatique Gina-Cody a évalué 16 systèmes différents de gestion des stations de recharge et a découvert des vulnérabilités à la manipulation et aux attaques potentielles par des logiciels malveillants qui pourraient affecter les utilisateurs, les stations elles-mêmes et le réseau électrique auquel elles sont connectées. On appelle le procédé white hat hacking, qui est mené par des chercheurs afin de trouver les points faibles des logiciels et infrastructures.
L’expérience a démontré que les pirates pouvaient activer ou désactiver le processus de charge, déployer des logiciels malveillants ciblant la confidentialité des données des utilisateurs, contrôler plusieurs stations de charge et les utiliser pour lancer des attaques par déni de service contre d’autres appareils connectés, et même potentiellement surcharger ou sous-charger le réseau électrique si un nombre suffisant de stations sont attaquées simultanément.
« Nous avons constaté que le réseau visé par les cyberattaques – c’est-à-dire l’ensemble des véhicules électriques, des stations de recharge et des systèmes de gestion – est en pleine expansion, note Tony Nasr. Et plus ce réseau se développe, plus il risque de devenir la cible de cyberattaques d’envergure et de servir à commettre des actes malveillants ».
De son côté, Hydro-Québec et Le Circuit Électrique affirment que la prévention commence dès la sélection des fournisseurs de bornes. « Dès les appels d’offres pour les bornes qui s’intègrent à notre réseau, il est indiqué que le fournisseur de borne doit mettre en place des mesures pour surveiller, repérer et repousser toutes tentatives d’attaques », confie Jonathan Côté.
La croissance rapide de la demande de chargeurs et de véhicules électriques pousse les fabricants à se concentrer sur la production pour faire face à la concurrence, tout en investissant moins de temps et d’efforts dans l’analyse et l’évaluation de la sécurité, selon le document.
Par ailleurs, Hydro-Québec assure travailler en partenariat avec l’Université Concordia pour régler les problèmes en amont. « Nous avons justement commencé avec des chercheurs de Concordia un projet visant à détecter d’éventuelles failles pour améliorer la cybersécurité de notre réseau. Nous pourrons donc bénéficier de leur expertise en la matière et rehausser la sécurité de notre réseau. Certains des chercheurs coauteurs de l’article auquel vous avez fait référence travaillent d’ailleurs sur ce projet avec nous », conclut Jonathan Côté.
Avec le montant considérable des fonds alloués dans le budget fédéral de 2022 pour construire et soutenir les stations de recharge, il sera crucial pour les constructeurs automobiles et les fournisseurs de bornes d’établir et de maintenir des connexions sécurisées entre les chargeurs et les véhicules afin d’éviter ces types de menaces.