De plus en plus nombreuses, les bornes de recharge de véhicules électriques présentent d’importantes failles de cybersécurité, préviennent deux chercheurs de l’Université Concordia.

Connectées à Internet ou à des réseaux locaux, ces bornes de recharge sont les « cibles potentielles » d’attaques menaçant les utilisateurs, mais surtout l’ensemble du réseau électrique sur lequel elles sont branchées.

En exploitant les failles du système informatique, un utilisateur malveillant a par exemple « la capacité de décharger votre voiture à distance », explique Tony Nasr, auteur principal de l’étude.

Il lui est également possible d’obtenir certaines de vos informations personnelles, comme votre nom, votre adresse, ou encore votre numéro de téléphone, et ce, que la borne soit publique ou privée.

Mais la menace la plus importante est pour le réseau électrique, estime Chadi Assi, professeur ayant supervisé l’étude. En contrôlant simultanément un « très grand nombre de stations de recharge et en exploitant leurs systèmes de gestion », une personne malintentionnée peut « surcharger ou décharger le réseau électrique, et saboter ses opérations ».

Contactée par Le Devoir, Hydro-Québec, qui collabore étroitement avec les chercheurs de Concordia, affirme être « très sensible à la question de cybersécurité ». La société indique imposer à ses fournisseurs de bornes la mise en place de « mesures pour surveiller, repérer et repousser toutes les tentatives d’attaque ».

Les incitations du gouvernement à adopter un moyen de transport électrique et la demande croissante pour ce type de véhicule impliquent l’installation d’une plus grande flotte de bornes de recharge, ce qui augmente les risques de piratage.

Dans son Plan pour une économie verte 2030, le gouvernement Legault se fixait pour objectif de compter « 1,5 million de véhicules électriques sur les routes » d’ici 2030, et d’ajouter « 4500 bornes de recharge » dans les municipalités.

« Pour soutenir le déploiement croissant de véhicules électriques, nous devons prêter attention à la sécurité de cette infrastructure », avance M. Assi, qui est membre du Consortium national pour la cybersécurité, codirigé par l’Université Concordia.

Ce ne sont pas seulement les bornes de recharge qu’il faut surveiller, mais tout un écosystème

— Chadi Assi

​« Avec la guerre en Ukraine, on parle beaucoup des menaces cybersécuritaires lancées par les États. Pour nous, [les bornes de recharge] sont une surface d’attaque. Ça peut éteindre un réseau électrique, on ne devrait pas prendre de risques ! » conclut Chadi Assi.

L’enjeu n’est pas seulement sécuritaire. Les chercheurs avancent que ces vulnérabilités pourraient décourager de potentiels acheteurs de véhicules électriques. Après avoir décelé ces failles, les chercheurs ont contacté les différents fournisseurs de bornes de chargement, qui ont, depuis, « corrigé la plupart de ces vulnérabilités », souligne Tony Nasr. « Mais il est toujours possible d’en trouver de nouvelles », prévient Chadi Assi.

« Ce ne sont pas seulement les bornes de recharge qu’il faut surveiller, mais tout un écosystème », ajoute le professeur. « C’est le support lui-même, c’est le système de gestion qui est hébergé quelque part dans le nuage, c’est l’application qu’une personne utilisera depuis son téléphone [pour gérer le chargement de sa voiture] » qui sont de potentielles « surfaces d’attaque ».

Les deux auteurs invitent l’utilisateur disposant de sa propre borne et qui souhaiterait renforcer sa sécurité  à « créer un mot de passe d’authentification fort, à utiliser un pare-feu ou à désactiver l’accès à Internet ».

Avec Alain McKenna

 

Ce contenu est réalisé en collaboration avec l’Université Concordia.