RECHERCHE: Comment rendre les bornes de recharge des véhicules électriques plus résistantes aux cyberattaques
Alors que le Québec se prépare à interdire les véhicules à essence d’ici à 2035, Chadi Assi et une équipe internationale d’experts en cybersécurité menée par des chercheurs du Centre de cybersécurité de l’Université Concordia a constaté que les bornes de recharge des véhicules électriques étaient vulnérables aux cyberattaques. Ces attaques pourraient cibler non seulement le public utilisateur, mais aussi le réseau électrique même, ce qui serait susceptible d’entraîner des interruptions de service et des pannes.
Pour parvenir à cette conclusion, les chercheurs ont conçu des routines parcourant automatiquement le Web qu’ils ont appliquées aux sites des fabricants de bornes de recharge de véhicules électriques, tous ouverts et accessibles gratuitement au public. Ils ont ainsi réussi à trouver des données publiques relatives à 16 des systèmes de recharge les plus couramment utilisés, dont cinq ont fourni des informations sur la manière dont fonctionnait le code des systèmes de gestion des bornes. Les experts ont ensuite rétroconçu le mode de fonctionnement de chaque type de borne et déterminé les angles d’attaque susceptibles de réussir. Ils ont alors découvert de multiples vulnérabilités graves nécessitant des correctifs, car elles permettraient à des attaquants de :
prendre le contrôle total des systèmes de recharge;
manipuler la facturation;
s’emparer du système de manière à l’utiliser comme plateforme pour lancer des attaques par déni de service contre d’autres systèmes;
contrôler le cycle de charge et de décharge des véhicules électriques branchés de façon à déstabiliser le réseau électrique au point de déclencher les relais de sécurité et de causer des pannes de courant.
Lorsque l’équipe a approché les fournisseurs pour leur faire part de ses observations, l’un d’eux, l’entreprise allemande Schneider Electric, en a tenu compte et a immédiatement réservé 12 identifiants CVE (Common Vulnerability and Exposure ou « vulnérabilités et expositions courantes ») aux fins d’attribution lors qu’il sera prêt à rendre publics les correctifs.
Article sommaire paru dans Communications de l'Association of Computing Machinery.