Le manque d’infrastructures et de de bornes de recharge  est considérée par beaucoup comme le principal obstacle au développement de la technologie de l’énergie solaire. mobilité électrique . Cependant, ces derniers mois, les bornes de recharge poussent comme des champignons et, en tant que telles, peuvent parfois être… « toxiques ». Ou, à tout le moins, nuire au portefeuille des propriétaires de voitures « zéro émission ». De quelle manière ? Les bornes de recharge, peuvent devenir une porte d’entrée pour les cyberattaques.  On peut donc se poser la question suivante : quels sont les dangers liés aux bornes de recharge des voitures électriques ? Dans quelle mesure l’infrastructure est-elle vulnérable ? Quels sont les événements criminels qui peuvent être générés par une borne de recharge ? Voici quelques conseils pratiques pour protéger les voitures électriques des attaques de pirates informatiques. 

Les chiffres.  Selon le rapport trimestriel de l’association Motus-e en Italie, à la fin du mois de mars 2023, nous avons atteint 41 173 points de charge  pour les voitures électriques, 22 107 stations de recharge et 15 262 emplacements. Si ces chiffres sont le signe d’un secteur en pleine croissance, ils ne manquent pas de susciter des inquiétudes quant à l’avenir de l’industrie automobile. cybersécurité . Chaque objet connecté, chaque point d’extrémité de l’écosystème IoT est une porte d’entrée dans le système pour les cybercriminels.  

Risques majeurs.  Avoir le contrôle d’une station de recharge signifie pouvoir pirater le compte de l’utilisateur et, de là, entrer dans l’application avec laquelle il gère le ravitaillement de sa voiture. Et cela ne s’arrête pas là. Avoir accès à l’application signifie être dans son smartphone et pouvoir accéder à toutes ses données. La possibilité que l’utilisateur se retrouve victime d’un ransomware n’est pas à écarter : de l’anglais « ransom », il s’agit d’un type de logiciel malveillant qui bloque l’accès à un ordinateur en « volant » les données qu’il contient dans le but d’obtenir une rançon de la part de la victime afin d’avoir à nouveau accès à ses données. 

L’utilisateur individuel n’est pas le seul à courir un risque.  L’autre dispositif susceptible d’être piraté par une entrée depuis le pilier est la voiture elle-même. Cela laisse ouverte la possibilité d’attaques sur l’ensemble de la flotte d’un constructeur de véhicules électriques, avec des dommages à grande échelle. Bien entendu, il ne faut pas oublier le risque encouru par la compagnie d’énergie qui garantit l’approvisionnement, qui peut se retrouver avec des stations-service entières bloquées par un ransomware et une demande de rançon pouvant se chiffrer en millions de dollars.

Quels sont les événements criminels qu’un attaquant peut générer à partir d’un point d’approvisionnement ?  

1) Vol de l’énergie de charge, ce qui entraîne une utilisation gratuite non autorisée du service ;

2) la manipulation des systèmes de paiement ;

(3) l’interruption du fonctionnement de la station de recharge ;

4) violation du système numérique des véhicules, avec dommages possibles à des composants essentiels (entre autres, les batteries).

Vulnérabilités de l’infrastructure de recharge.  La gestion des infrastructures de recharge pour les voitures électriques pose un problème majeur de sécurité informatique. Une attaque externe sur une station de recharge peut se transformer en un outil permettant d’atteindre de multiples victimes : l’utilisateur individuel, la société de gestion du service, le fabricant de la voiture elle-même, jusqu’au système dans sa complexité, puisque la station de recharge représente un point d’accès à l’ensemble du réseau électrique. 

Les dangers du système de charge.  Le paiement par recharge est un type de transaction qui se déroule dans le cadre d’un système intégré d’encaissement de montants. L’opération préliminaire est l’identification de l’utilisateur à la station-service au moyen d’un jeton d’identification qui consiste souvent en une carte (NFC, Near-Field-Communication) associée à un compte bancaire. Les paiements sont généralement gérés par un protocole spécifique (Open Charge Point Protocol), qui régit la communication entre le système intégré et la borne de recharge. Le système accepte et communique avec le point de charge, qui est alors prêt à fournir le service. Il y a quelques points critiques dans ce schéma extrêmement simple, à commencer par les cartes NFC, dont les données pourraient ne pas être cryptées. C’est une hypothèse lointaine, car l’utilisation du cryptage DES pour ce type d’objet est de plus en plus répandue, mais cela reste une hypothèse à considérer.  

Le risque associé à l’Open Charge Point Protocol (OCPP), qui est la norme pour les stations de recharge, est beaucoup moins éloigné. Il s’agit d’un protocole ouvert particulièrement exposé aux attaques de type « Man-in-the-Middle » (MitM), dans lesquelles l’attaquant se place au centre de la communication entre deux entités, en l’occurrence la borne de recharge et le système intégré, afin d’intercepter le flux de données. Il est donc évident que les données de l’utilisateur, qui entre ses coordonnées bancaires dans la station de recharge par l’intermédiaire de la carte NFC, sont menacées.

Un autre risque à ne pas sous-estimer concerne la présence éventuelle de ports USB sur les colonnes . Dans ce cas, il devient possible de connecter une mémoire extractible dans laquelle les données de configuration et d’accès peuvent être copiées, donnant accès aux identifiants et aux mots de passe du serveur OCCP et éventuellement aux données de la carte NFC des utilisateurs, qui peuvent être répliquées dans les procédures de clonage. Les données de configuration et d’accès permettraient également à l’attaquant de désactiver la colonne, ce qui causerait un préjudice évident au fournisseur de services.

Comment protéger les voitures électriques des cyberattaques 

Voici quelques conseils pratiques pour se protéger des cyberattaques :

– Télécharger à partir de sources sûres Privilégiez les bornes de recharge à domicile ou sur le lieu de travail. Si possible, utilisez-les car ce sont des points d’extrémité moins vulnérables aux attaques que les stations de recharge exploitées par de grands acteurs, qui sont beaucoup plus attrayantes pour les cybercriminels.

– Dialogue avec les fournisseurs :  Il est important que les fournisseurs de services de recharge et les fabricants de véhicules électriques dialoguent en permanence avec leurs fournisseurs, en les informant de tous les aspects liés aux cyberrisques et en partageant les stratégies et solutions possibles pour se protéger de manière adéquate.

– Faire le choix le plus sûr :  Les attaquants sont à la recherche d’une vulnérabilité et choisiront celle qui en offre le plus. Lorsque vous choisissez la compagnie d’énergie avec laquelle vous allez facturer, il est important de faire des recherches et d’opter pour celle qui offre le meilleur niveau de protection.

Non seulement la personne qui fournit et exploite le service de recharge est tenue de prendre les mesures de sécurité appropriées, mais elle doit également s’assurer que le service de recharge n’est pas utilisé de manière abusive. Stefano Brusaferro, directeur des ventes et du marketing de HWG  -Même les utilisateurs peuvent, dans leurs limites, faire quelque chose d’utile pour se protéger, par exemple en mettant à jour les applications et les logiciels à des points de charge privés lorsque cela est nécessaire. En outre, les informations sensibles telles que les données d’accès aux services devraient être stockées dans des endroits bien protégés, éventuellement dans des dispositifs de stockage autres que les ordinateurs, les smartphones et le nuage, et n’être ouvertes que lorsqu’elles ne sont pas connectées au réseau. La protection de l’écosystème de l’e-mobilité est, en fait, un besoin systémique et pas seulement celui des entreprises individuelles qui fournissent de l’énergie ou construisent des véhicules. En tant qu’objets connectés, les bornes de recharge (et les voitures) sont des points d’entrée potentiels dans un monde qui ouvre d’innombrables voies aux cybercriminels, les amenant éventuellement à cibler n’importe qui, et pas seulement ceux qui sont directement impliqués dans une activité qui est de plus en plus cruciale pour notre avenir ».