Une récente découverte en Norvège a mis en lumière une préoccupation majeure concernant les bus électriques chinois utilisés dans le pays. Des tests ont révélé que certains modèles, notamment ceux du constructeur chinois Yutong, possèdent des modules OTA (Over-the-Air) qui permettent un accès à distance à leurs systèmes critiques, y compris le gestionnaire de batterie et d’alimentation. Cette découverte soulève des questions importantes sur la sécurité des infrastructures de transport.
Vérifications et failles de sécurité dans les bus électriques
Les autorités norvégiennes ont testé plusieurs modèles de bus électriques pour mieux comprendre les vulnérabilités potentielles. Ruter, l’opérateur des transports en commun à Oslo, a mené une étude comparative entre un bus de VDL basé aux Pays-Bas et un modèle du géant chinois Yutong. Les résultats ont mis en évidence des différences significatives en termes de sécurité des systèmes. Alors que le modèle VDL ne permet pas d’accès à distance, le Yutong utilise une carte SIM, spécifiquement une carte de Roumanie, pour offrir une connectivité permanente. Cette connectivité permanente permet à Yutong de mettre à jour ses systèmes à distance et, dans des cas extrêmes, de désactiver le bus.
Implications des OTA et gestion des risques
Les OTA sont conçus pour simplifier la maintenance et permettre des mises à jour régulières sans intervention physique sur le véhicule. Néanmoins, ils présentent également des risques importants s’ils ne sont pas correctement sécurisés. Un pirate informatique pourrait théoriquement exploiter une faille dans ce système pour prendre le contrôle du bus, entrainant potentiellement des perturbations majeures du transport public.
Pour résoudre ce problème, Ruter envisage de développer une nouvelle couche de sécurité sous la forme d’une firewall qui pourrait contrôler les mises à jour reçues des serveurs de Yutong avant qu’elles ne soient installées. Cela réduirait le risque de manipulation malveillante tout en permettant la fonctionnalité d’OTA.
Conséquences globales pour les constructeurs étrangers
Les implications de cette découverte vont au-delà de la Norvège. Yutong étant le plus grand fabricant mondial de bus, cette entreprise a des véhicules déployés dans plusieurs régions, y compris l’Europe, l’Afrique, l’Australie et l’Amérique du Sud. Cela pose des défis importants pour la sécurité internationale des transports publics car la manipulation à distance pourrait techniquement être étendue à plusieurs de ces véhicules.
La problématique est également d’actualité pour d’autres entreprises chinoises dans le domaine des transports, telles que BYD et CRRC, qui fournissent également des équipements de haute technologie à l’échelle mondiale. Les OTA utilisés dans leurs véhicules pourraient présenter des défis similaires.
Stratégies d’atténuation proposées
Les autorités et les exploitants de transport envisagent plusieurs stratégies pour atténuer ces risques :
- Mettre en place des audits réguliers de sécurité pour identifier et combler les failles potentielles.
- Collaborer avec des experts en cybersécurité pour renforcer les systèmes existants.
- Établir des protocoles de réponse aux incidents pour une réaction rapide en cas de cyberattaque.
- Poursuivre la recherche et le développement de technologies qui nécessitent moins de dépendance à l’égard des mises à jour OTA.
Pékin, les fabricants et la cybersécurité
Face à ces préoccupations, il est crucial d’examiner le rôle du gouvernement chinois, des fabricants comme Huawei, ZTE, Dongfeng, King Long, Geely, Chery et Golden Dragon, et d’autres dans le cadre des infrastructures critiques internationales. Bien que ces entreprises soient souvent à la pointe de l’innovation, l’intégration de systèmes de contrôle à distance suscite des questions de souveraineté nationale et de contrôle externe.
Il n’est pas nécessaire d’accuser ces entreprises ou le gouvernement chinois d’intentions malveillantes, mais ces systèmes pourraient involontairement devenir des vecteurs pour des cybercriminels. Il est donc impératif que les pays importateurs mettent en place des exigences de sécurité strictes pour protéger leurs infrastructures nationales.
Le futur des transports publics sécurisés
À l’avenir, les transporteurs publics devront être de plus en plus vigilants sur la cybersécurité. Les incidents récents soulignent l’importance d’une approche proactive face aux risques associés aux technologies émergentes. Les fabricants doivent également assumer la responsabilité de garantir que les systèmes qu’ils déploient à l’étranger sont sécurisés contre les intrusions. Une coopération internationale renforcée est nécessaire pour établir des normes élevées et garantir la protection de ces infrastructures critiques.
En conclusion, bien que les technologies de pointe telles que les OTA offrent des avantages pratiques indéniables, la sécurité des systèmes critiques doit rester au cœur des préoccupations pour éviter que de telles avancées ne deviennent vulnérables à des menaces imprévisibles.
