Bornes de recharge pour véhicules électriques : un nouveau sujet d’intérêt pour les chercheurs en cybersécurité de Concordia

Selon les données les plus récentes, une adoption rapide et massive des véhicules électriques (VE) serait sur le point de se produire. Voilà une bonne nouvelle pour l’environnement, les automobilistes et l’industrie des voitures électriques. Or, cette explosion de la demande pour les VE et les infrastructures connexes pourrait-elle avoir des répercussions sur notre sécurité?

Dans une étude dirigée par l’Université Concordia et publiée dans la revue Computers & Security, une équipe de recherche s’est penchée sur des failles de sécurité décelées chez certains des plus grands fabricants de bornes de recharge pour véhicules électriques. L’étude a révélé d’importantes lacunes susceptibles de rendre ces systèmes vulnérables aux cyberattaques, ce qui pourrait entraîner des conséquences pour les utilisateurs, les bornes électriques, voire l’ensemble du réseau auquel celles-ci sont connectées.

Les chercheurs du Centre de recherche sur la sécurité de l’École de génie et d’informatique Gina-Cody ont évalué la sécurité de 16 systèmes de gestion de bornes de recharge de véhicules électriques, et ce, à l’aide de diverses techniques, dont la recherche et la collecte de données dans les systèmes, l’ingénierie inverse et des essais de pénétration. Après avoir répertorié les principaux systèmes de gestion, ils ont analysé leurs mécanismes de sécurité afin d’en découvrir les failles. Ils ont ensuite examiné les conséquences possibles de l’exploitation de ces failles en cas de cyberattaque et ont simulé l’impact d’éventuelles cyberattaques sur le réseau électrique.

« Nous sommes sur le point d’assister à une augmentation exponentielle du nombre de VE en circulation, prédit Chadi Assi, professeur à l’Institut d’ingénierie des systèmes d’information de Concordia ayant supervisé l’étude. Toutefois, sans une infrastructure de recharge sécurisée, les consommateurs hésiteront à opter pour une voiture électrique. »

Une croissance forte qui implique des angles morts

Les chercheurs ont recensé trois catégories de systèmes de gestion de bornes de recharge : les micrologiciels, les applications mobiles et les applications Web.

Tous ces systèmes, à des degrés divers, se sont avérés vulnérables aux manipulations et à d’éventuelles infiltrations par des logiciels malveillants. Après avoir mené divers essais, les chercheurs ont conclu que les cybercriminels pouvaient exécuter plusieurs types de manœuvres nuisibles, par exemple : activer ou désactiver le processus de recharge sur commande, déployer des logiciels malveillants ciblant la confidentialité des données des utilisateurs, ou contrôler plusieurs bornes de recharge et les utiliser pour commettre des attaques par déni de service contre d’autres appareils connectés. Si des personnes malintentionnées arrivent à commander simultanément un nombre suffisant de bornes de recharge, elles pourraient les utiliser pour surcharger ou décharger le réseau électrique, et éventuellement saboter ses opérations.

Heureusement, les chercheurs proposent plusieurs mesures d’atténuation que les fabricants pourraient adopter pour réduire les risques touchant leurs systèmes. L’efficacité et la facilité de mise en œuvre de ces solutions dépendent toutefois de la complexité de la faille, selon Tony Nasr (M. Sc. A. 2022), auteur principal de l’étude.

« Chaque type de faille est unique et sa résolution nécessite un degré de technicité approprié », explique le chercheur.

« L’utilisateur peut adopter des mesures de protection simples, comme des mots de passe sécuritaires et des pare-feu. D’autres problèmes de nature plus technique ne peuvent être traités que par le concepteur. Ceux-ci requièrent généralement la mise en œuvre de contrôles et de mécanismes de sécurité plus puissants dans le système de gestion. Cependant, ces correctifs nécessitent un examen minutieux et un délai de traitement plus long. »

Selon les auteurs, les fabricants de systèmes de gestion de bornes de recharge sont, en quelque sorte, victimes de leur propre succès. Les types de failles décrites dans l’article sont bien connus des spécialistes de la sécurité. Or, il est possible que la croissance rapide de la demande pour cette technologie relativement nouvelle ait amené les fournisseurs à mettre l’accent sur la production afin de tenir tête à la concurrence et, de ce fait, à consacrer moins de temps et d’efforts à l’analyse et à l’évaluation de la sécurité, tel qu’il est expliqué dans l’article.

« Nous avons constaté que le réseau visé par les cyberattaques – c’est-à-dire l’ensemble des véhicules électriques, des stations de recharge et des systèmes de gestion – est en pleine expansion, note Tony Nasr. Et plus ce réseau se développe, plus il risque de devenir la cible de cyberattaques d’envergure et de servir à commettre des actes malveillants. »

Les autres auteurs de l’étude sont Sadegh Torabi (Ph. D. 2021), Elias Bou-Harb, de l’Université du Texas à San Antonio, et Claude Fachkha, de l’Université de Dubaï.

Cette étude a été financée par le Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) et la Fondation nationale des sciences des États-Unis.

Consultez l’article cité (en anglais) : « Power jacking your station: In-depth security analysis of electric vehicle charging station management systems. »