Agrandir / Il existe de nombreuses bonnes raisons pour lesquelles un chargeur de VE devrait être mis en réseau, mais cela comporte des vulnérabilités.
Aurich Lawson | Getty Images
L’Infrastructure Investment and Jobs Act, telle qu’adoptée par le Congrès en novembre dernier, autorise 7,5 milliards de dollars pour aider à atteindre l’objectif du président américain Joe Biden d’installer 500 000 stations d’ici 2030. Biden vise à ce que les véhicules électriques représentent la moitié de tous les nouveaux véhicules vendus aux États-Unis d’ici 2030. Mais à mesure que le nombre de stations augmente, le nombre de vulnérabilités augmente également.
Au cours des dernières années, les pirates ont été occupés à cibler leurs attaques sur les vulnérabilités des systèmes électriques. Dans le cas des bornes de recharge, certains de ces soft spots sont situés à l’intérieur des bornes ; certains sont situés à l’intérieur de l’équipement qui contrôle les connexions entre le réseau et la station ; et encore, d’autres sont à l’intérieur des actifs qui se trouvent du côté du réseau de la relation, et ceux-ci appartiennent principalement aux services publics. Les sociétés d’énergie éolienne basées en Europe (Deutsche Windtechnik AG, Enercon GmbH et Nordex SE) ont subi des attaques axées sur l’arrêt du flux d’électrons, des attaques d’usurpation d’identité et des paiements volés. Dans la plupart des cas, les résultats peuvent être des interruptions de service affectant les clients et des réductions de revenus pour les fournisseurs d’électrons et/ou les propriétaires d’actifs.
Les pirates recherchent en permanence des moyens d’exploiter au maximum toutes les vulnérabilités du système. C’est un problème pour le consommateur, tout comme pour les entreprises commerciales. Ajouté aux contraintes créées par plusieurs types de perturbations de piratage — destruction physique ; brouillage électronique; créer un « déni de service » – sont des préoccupations concernant les systèmes de contrôle faibles. De son perchoir chez PlugInAmerica.org, Ron Freund craint que le matériel de contrôle de supervision et d’acquisition de données existant ne soit primat.
Publicité
“Il ne gère pas les défauts simples avec élégance, et n’est pas fiable, encore moins évolutif. Mais il n’est pas encore sur Internet, il est donc inaccessible (pour la plupart). En fait, c’est effrayant à quel point certains d’entre eux sont primitifs. les systèmes le sont toujours », m’a dit Freund.
Protégez votre backend
Au cœur de l’infrastructure des véhicules électriques se trouvent des stations connectées à une unité de contrôle centrale, communément appelée “le backend”. Ce backend communique sur un réseau sans fil en utilisant la même technologie qu’une carte SIM (en d’autres termes, il utilise des communications de machine à machine). Les stations collectent des données sensibles telles que des données de paiement, des données de localisation et des données démographiques pouvant inclure des adresses e-mail et des numéros IP. Puisqu’une application mobile ou une carte RFID est utilisée pour accéder à la station, des données sensibles sont également collectées sur les applications, y compris les données de localisation et l’historique des comportements en ligne.
Selon Thomas Russell du National Cybersecurity Center, “ces données peuvent être utilisées pour trouver des modèles de routines quotidiennes et des données de localisation ainsi que des informations privées”. Les stations en réseau présentent des avantages évidents pour les opérateurs, qui peuvent surveiller l’utilisation et la fiabilité en temps réel, mais être en réseau signifie être vulnérable.
Selon Joe Marshall de Cisco Talos, “Les éléments les plus vulnérables d’une borne de recharge pour véhicules électriques seront généralement le système de gestion des véhicules électriques (ou EVCSMS). Les fournisseurs qui possèdent ces bornes doivent rester connectés avec eux via Internet pour traiter les paiements, effectuer la maintenance et mettre leurs services à la disposition des véhicules électriques. » Par conséquent, cela peut exposer leurs stations à des attaquants qui pourraient chercher à exploiter cet EVCSMS.
Marshall est affligé que les EVCSMS soient “vulnérables à bien des égards”. Beaucoup sont développés avec de mauvaises pratiques de sécurité, des informations d’identification codées en dur (et donc volables) au développement de code de sécurité médiocre qui permet aux attaquants d’exploiter les interfaces de gestion pour compromettre le système. Il pense que “cela n’est pas différent de nombreux appareils IoT modernes, comme les caméras Web ou les routeurs domestiques” qui ont traditionnellement une sécurité mal conçue. Le système de gestion des véhicules électriques est également incroyablement similaire aux autres produits et marchés IoT.
