Accélération de l’électromobilité: la cybersécurité au point mort?

Le nombre de véhicules électriques sur les routes suisses connaît une croissance fulgurante, dont le renversement n’est pas en vue. Poussés par les investissements dans la production décentralisée d’électricité et les technologies durables de stockage et d’utilisation de l’énergie électrique, de premiers constructeurs automobiles ont annoncé mettre un terme à la production des véhicules à moteur thermique dans un avenir proche. Et ce, sans doute aussi parce que de nombreux pays ne devraient plus accorder d’autorisation de circuler à ce type de véhicules dans quelques années. Cependant, pour que le tournant tant attendu dans le trafic routier se concrétise et qu’il ouvre effectivement la voie à une approche positive à long terme, il doit impérativement s’accompagner de toute une série de précautions, notamment dans le domaine de la cybersécurité.

L’élément-clé: l’infrastructure de recharge

Premier point essentiel, l’infrastructure de recharge doit être solide et fournir l’électricité de manière fiable à l’endroit où se trouvent les véhicules à recharger. Une telle infrastructure, en réseau, est actuellement en cours de développement dans le monde entier. En Suisse, le nombre de bornes de recharge publiques a plus que doublé au cours des trois dernières années (eMobility, 2023).

Développement des bornes de recharge publiques depuis janvier 2021. Une borne de recharge peut avoir plusieurs prises. (Graphique: Swiss eMobility, source: OFEN)

L’écosystème de l’e-mobilité est porté par une multitude de start-up innovantes, qui ont vu le jour ces dernières années. Par nature, celles-ci se concentrent clairement sur une mise sur le marché aussi rapide que possible et sur une forte pénétration de ce dernier. La cybersécurité ayant tendance à se mettre en travers de la route, elle est souvent reléguée au second plan.

Toutefois, même dans ce projet de digitalisation à grande échelle, la sécurité ne peut être ignorée. Au contraire, la confidentialité, l’intégrité et la disponibilité de l’électromobilité doivent impérativement reposer sur des exigences de sécurité standardisées, une communication et une transmission de données sécurisées, ainsi que des authentifications et des contrôles d’accès. La résilience face aux attaques et aux perturbations ciblant les bornes de recharge ainsi que la sécurité des véhicules constituent également des facteurs de sécurité essentiels. Ces aspects sont brièvement examinés ci-après.

Standardisation et conformité

La standardisation joue un rôle important afin que toutes les parties impliquées – en particulier sur les marchés en croissance – partagent une compréhension commune des mesures de sécurité requises, ce qui permettra de garantir un niveau de sécurité solide. En outre, la conformité aux dispositions nationales et internationales en matière de sécurité et de protection des données est indispensable. En Suisse et en Europe, certains standards et protocoles ont déjà été établis afin de permettre une communication entre les constructeurs en ce qui concerne la gestion, la facturation et la surveillance des bornes de recharge. Ainsi, l’OCPP (Open Charge Point Protocol) est utilisé pour l’interaction entre les bornes de recharge et les back-ends centraux.

Depuis quelques années, la version 2.0 du protocole est disponible et a été enrichie de caractéristiques de sécurité majeures. Cependant, les fournisseurs d’infrastructures de recharge opérant en Suisse utilisent principalement le protocole OCPP 1.6 datant de 2015, dans le cadre duquel des éléments de sécurité importants sont totalement absents ou optionnels. Ainsi, la communication entre la borne de recharge et le back-end n’est souvent pas cryptée et l’authentification de la borne de recharge par rapport au back-end n’est pas suffisante.

Sécurisation de la communication et du transfert de données

Afin de renforcer la confiance et de protéger la vie privée et les données personnelles des utilisatrices et utilisateurs conformément aux lois en vigueur sur la protection des données, il est essentiel que la transmission des données entre les véhicules, les bornes de recharge et les back-ends du réseau soit cryptée de bout en bout. En outre, il faut mettre en œuvre des mécanismes de sécurité pour protéger les systèmes contre les attaques de l’intermédiaire (man-in-the-middle-attack). Ces mécanismes doivent être en mesure de détecter et de bloquer toute activité suspecte afin d’empêcher les attaquants d’intercepter ou de manipuler les communications, faute de quoi des pannes de chargement, des erreurs de comptabilisation, voire des black-out généralisés se produiraient – nous reviendrons sur ce point par la suite.

Contrôle de l’authentification et de l’accès

Des mécanismes d’authentification sécurisés jouent un rôle crucial pour garantir que seuls les véhicules et les utilisatrices et utilisateurs autorisés ont accès aux services de recharge. En outre, il faut s’assurer qu’aucune fausse borne de recharge ne soit intégrée au système – autrement dit que seules des bornes autorisées soient disponibles. Des procédures d’authentification bien rodées permettent de minimiser les points d’attaque potentiels pour la cybercriminalité et de renforcer la sécurité du processus de recharge, garantissant ainsi une connexion sûre et fiable entre les parties. L’authentification dans les systèmes OCPP sert à vérifier l’identité des bornes de recharge et des back-ends avant qu’ils ne puissent communiquer entre eux. Cela empêche ainsi tout accès non autorisé au système de chargement et garantit la sécurité des transactions et du transfert de données. Deux types d’authentification existent dans le standard OCPP (1.6 et 2.0).

L’authentification HTTP Basic s’effectue par nom d’utilisateur et mot de passe, ainsi que par une authentification basée sur un certificat. Il faut savoir que lors d’une authentification de ce type, les données d’accès sont simplement codées, et non chiffrées. Un codage peut être directement converti en texte clair. C’est pourquoi cette méthode n’offre pas une sécurité suffisante, à moins de recourir en plus au cryptage TLS. Aujourd’hui, chez certains fournisseurs, l’authentification n’est pas vérifiée ou est vérifiée par un mécanisme propre. Par exemple, la connexion à une borne de recharge peut s’effectuer au moyen d’une carte client dont le numéro enregistré est le seul critère d’identification. Ce dernier est généralement facile à deviner ou à trouver après plusieurs tentatives (NTC, 2023).

Résilience face aux attaques et aux perturbations

La sécurité des firmwares et des logiciels est cruciale pour l’intégrité des bornes de recharge. Celle-ci peut être renforcée par des vérifications de sécurité et des mises à jour régulières, des techniques de cryptage et la mise en œuvre de contrôles des signatures stricts. Ces derniers permettent notamment de lutter contre les manipulations telles que l’introduction de logiciels malveillants.

Le protocole OCPP (version 1.6) n’impose pas de règles concernant les possibilités de surveillance ou de journalisation. De plus, le mécanisme de mise à jour du firmware des bornes de recharge est considéré comme peu sûr.

En outre, la disponibilité des réseaux d’infrastructures de recharge doit être garantie en permanence. Ces réseaux doivent savoir résister aux attaques par déni de service distribué (Distributed Denial of Service, DDoS), qui visent à submerger l’infrastructure en épuisant les ressources du réseau ou des points d’accès. Le filtrage du trafic ou les systèmes de détection d’intrusion sont considérés comme des mesures appropriées pour renforcer la résilience contre de telles attaques. Il est également envisageable de sécuriser l’infrastructure de recharge par l’intermédiaire d’architectures Internet modernes (p. ex. SCION), avec lesquelles une haute disponibilité est prévue dès la conception.

Sécurité des véhicules

Le conflit d’intérêts alimenté par la cybersécurité dans les véhicules réside souvent dans l’équilibre entre fonctionnalité et sécurité. En règle générale, les constructeurs automobiles cherchent en effet à innover et proposent une multitude de fonctions et de services qui permettent une intégration fluide avec lnternet et les appareils grand public connectés, tels que les smartphones. Toutefois, ces solutions peuvent entraîner des risques de sécurité, car les véhicules connectés qui communiquent avec Internet sont des portes d’entrée potentielles pour les cyberattaques. Pour minimiser ce risque, il est indispensable d’intégrer des mécanismes de sécurité résistants dans le logiciel du véhicule, de fournir des mises à jour de sécurité régulières et d’identifier et de corriger activement les failles de sécurité.

La réalité: de graves vulnérabilités constatées dans 30 organisations

À l’été 2023, l’Institut national de test de la cybersécurité (NTC) a soumis l’infrastructure de recharge publique pour l’électromobilité, laquelle connaît une croissance fulgurante, à une analyse de sécurité dès sa mise en place. Entre mai et août 2023, les systèmes d’une cinquantaine de fabricants différents, accessibles via Internet, ont été testés, dont sept applications mobiles, le firmware de onze bornes de recharge et des applications back-end centrales de 23 opérateurs de bornes de recharge. Les résultats des tests mettent en évidence des améliorations à apporter à la sécurité de l’infrastructure de recharge publique pour l’électromobilité en Suisse.

La plupart des vulnérabilités ont été identifiées dans les systèmes back-end et non dans les bornes de recharge elles-mêmes, car l’examen était axé sur ces systèmes. Ces failles sont particulièrement critiques, car elles offrent une plus grande évolutivité et permettent de procéder à des attaques à distance sur un grand nombre de consommateurs sans efforts majeurs. Dans la plupart des cas, il s’agissait de vulnérabilités facilement identifiables et exploitables qui peuvent déjà être détectées par des tests automatisés, ce qui suggère que les systèmes ne sont pas suffisamment testés à ce niveau.

Le plus souvent, les systèmes identifiés par les tests ne devaient pas être accessibles depuis Internet ou révélaient plus d’informations que nécessaire en raison d’une mauvaise configuration. Par exemple, plusieurs fichiers de configuration non protégés contenant des données d’accès et d’autres informations sensibles ont été détectés. D’autres failles résultaient de l’utilisation de logiciels obsolètes, ce qui laisse supposer une gestion lacunaire des correctifs.

Des vulnérabilités de type injection SQL ont été identifiées avec une fréquence surprenante. Si cette catégorie de vulnérabilité critique était largement observée par le passé, on la rencontre toutefois moins souvent ces dernières années en raison des cadres de développement modernes et de la sensibilisation des spécialistes informatiques. Selon le Top 10 de l’OWASP de 2017, les vulnérabilités par injection occupaient encore la première place (OWASP, 2017). En 2021, elles avaient déjà rétrogradé à la troisième place, et ce malgré le fait que les attaques cross-site scripting (XSS) largement répandues soient désormais prises en compte (OWASP, 2021). C’est le signe que certaines bonnes pratiques de programmation ne sont pas encore suffisamment diffusées dans le domaine des infrastructures de recharge.

En outre, très peu d’entreprises étaient dotées d’une politique de divulgation des vulnérabilités telle que recommandée par l’Office fédéral de la cybersécurité (OFCS), qui prévoit notamment la publication standardisée des coordonnées d’un service de signalement des vulnérabilités. Dans la pratique, il est très difficile – notamment pour les hackers éthiques – d’entrer en contact avec les entreprises concernées pour signaler de tels problèmes.

Outre les risques liés à l’OCPP décrits ci-dessus, qui concernent une grande partie du secteur, de graves failles de sécurité ont été constatées dans une trentaine d’organisations. Le NTC en a informé les fabricants et les opérateurs, qui les ont corrigées.

Conclusion

Une approche holistique est essentielle pour garantir la confidentialité, l’intégrité, et la disponibilité de l’infrastructure d’électromobilité. Celle-ci requiert une surveillance continue des systèmes et des menaces, une adaptation à l’évolution des normes et des standards et une conception active de la mise en œuvre des mesures de sécurité dans le développement et la mise à disposition des produits. Si la fiabilité de l’infrastructure de l’électromobilité était compromise, il faudrait en freiner l’adoption, la confiance de nombreux primo-adoptants pourrait être entamée, du moins temporairement, tandis que serait mise à mal l’impression positive donnée par une électromobilité écologiquement durable.