Alors que l’infrastructure de recharge des véhicules électriques (VE) se précipite pour suivre le rythme de l’augmentation spectaculaire des ventes de véhicules électriques aux États-Unis, les cyberattaquants et les chercheurs en sécurité ont déjà commencé à se concentrer sur les faiblesses de sécurité de l’infrastructure.
En février, des chercheurs de la société de cybersécurité Saiflow ont découvert deux vulnérabilités dans le protocole OCPP (Open Charge Point Protocol) qui pourraient être utilisées dans une attaque par déni de service distribué (DDoS) et pour voler des informations sensibles. Et le laboratoire national de l’Idaho a récemment découvert que chaque chargeur qu’il a examiné – plus officiellement connu sous le nom d’équipement d’alimentation de véhicules électriques (EVSE) – utilisait des versions obsolètes de Linux, avait des services inutiles et permettait à de nombreux services de s’exécuter en tant que root, selon une enquête sur la vulnérabilité de la recharge des véhicules électriques dans la revue Energies. D’autres attaques potentielles incluent l’adversaire au milieu (AitM) et les services exposés à l’Internet public, selon le journal.
Les risques ne sont pas seulement théoriques : il y a un an, après l’invasion de l’Ukraine par la Russie, des hacktivistes ont compromis les bornes de recharge près de Moscou pour les désactiver et afficher leur soutien à l’Ukraine et leur mépris pour le président russe Vladamir Poutine.
Les préoccupations en matière de cybersécurité surviennent alors que les ventes de véhicules électriques ont décollé aux États-Unis, représentant 5,8% de tous les véhicules vendus en 2022, contre 3,2% l’année précédente. selon JD Power. Actuellement, moins de 51 000 bornes de recharge rapide de niveau 2 et DC sont disponibles aux États-Unis, ce qui représente la capacité de recharger 130 000 véhicules simultanément. selon le Département de l’énergie des États-Unis. Avec plus de 1,5 million de véhicules électriques enregistré à partir de juin 2022, cela signifie qu’il y a 11 véhicules pour chaque port de recharge public.
Pour répondre à la demande, les principaux acteurs du secteur de la recharge des véhicules électriques ont tous des plans d’expansion importants, et l’administration Biden vise à augmenter le nombre de chargeurs de véhicules. à 500 000 d’ici 2030.
Alors que les experts en cybersécurité craignent que la précipitation à créer une infrastructure de recharge complète puisse se faire au détriment de la cybersécurité, la question de sa préparation à la cybersécurité est particulièrement piquante compte tenu de la connectivité de l’infrastructure et de la capacité à causer potentiellement des dommages en utilisant l’accès à la haute tension disponible, explique Phil Tonkin, directeur principal de la stratégie chez Dragos, un fournisseur de cybersécurité industrielle.
« La plupart des chargeurs de véhicules électriques peuvent être considérés comme une technologie de l’Internet des objets (IoT), mais ils sont parmi les premiers à contrôler une charge électrique aussi importante », dit-il. Il ajoute : « Le risque agrégé d’un si grand nombre d’appareils, souvent connectés à un petit nombre de systèmes uniques, signifie que les appareils de ce type doivent être mis en œuvre avec soin. »
Chargeurs de véhicules électriques : IoT, OT et infrastructures critiques
À bien des égards, l’infrastructure de recharge des véhicules électriques représente une tempête parfaite de technologies. Les appareils sont connectés via des applications mobiles et comportent les mêmes risques que les autres appareils IoT, mais ils sont également appelés à devenir un élément essentiel du réseau de transport aux États-Unis, comme d’autres technologies opérationnelles (OT). Et parce que les bornes de recharge de véhicules électriques doivent être connectées à des réseaux publics, il sera essentiel de s’assurer que leurs communications sont cryptées pour maintenir la sécurité des appareils, explique Tonkin de Dragos.
« Les hacktivistes seront toujours à la recherche d’appareils mal sécurisés sur les réseaux publics, il est important que les propriétaires de véhicules électriques mettent en place des contrôles pour s’assurer qu’ils ne sont pas des cibles faciles », dit-il. « Les joyaux de la couronne des opérateurs de chargeurs de véhicules électriques doivent être leurs plates-formes centrales, les chargeurs eux-mêmes font intrinsèquement confiance aux instructions poussées du centre. »
Les appareils grand public sont également un problème. Environ 80% de la recharge a lieu à domicile, selon les données de session ChargePoint. Mais malheureusement, ces appareils peuvent être plus faciles à perturber parce que les consommateurs ne sont pas concentrés, et ne devraient pas avoir besoin de se concentrer, sur la cybersécurité, dit Tonkin.
« Il n’est pas pratique pour le client domestique moyen d’avoir à mettre en place la bonne sécurité, donc de s’assurer que l’appareil lui-même et les méthodes qu’il utilise pour communiquer avec les services basés sur le cloud doivent toujours être sur le fournisseur », dit-il.
Rôle du gouvernement dans la cybersécurité des véhicules électriques
Le gouvernement américain devrait mettre des normes et des meilleures pratiques à la disposition des entreprises pour prévenir les faiblesses de la cybersécurité, disent certains. Sandia National Laboratories, par exemple, a recoma corrigé un certain nombre d’initiatives visant à renforcer la cybersécurité, notamment en améliorant l’authentification et l’autorisation des propriétaires de véhicules électriques, en ajoutant plus de sécurité à la composante cloud de l’infrastructure de recharge et en renforçant les unités de recharge réelles contre la falsification physique.
« Le gouvernement peut dire ‘produire des chargeurs de véhicules électriques sécurisés’, mais les entreprises axées sur le budget ne choisissent pas toujours les implémentations les plus cyber-sécurisées », Brian Wright, un expert en cybersécurité de Sandia travaillant sur le projet de vulnérabilité. a déclaré dans un communiqué. « Au lieu de cela, le gouvernement peut soutenir directement l’industrie en fournissant des correctifs, des avis, des normes et des pratiques exemplaires. »