Certains articles de veille peuvent faire l'objet de traduction automatique.
De telles fissures pourraient éventuellement permettre aux pirates d’accéder aux données du véhicule ou aux informations de carte de crédit des consommateurs, explique Ken Munro, cofondateur de Pen Test Partners. Mais la faiblesse la plus inquiétante pour lui était peut-être que, comme pour les tests de Concordia, son équipe a découvert que de nombreux appareils permettaient aux pirates d’arrêter ou de commencer à charger à volonté. Cela pourrait laisser les conducteurs frustrés sans batterie pleine lorsqu’ils en ont besoin, mais ce sont les impacts cumulatifs qui pourraient être vraiment dévastateurs.
« Il ne s’agit pas de votre chargeur, il s’agit du chargeur de tout le monde en même temps », dit-il. De nombreux utilisateurs à domicile laissent leur voiture connectée à des chargeurs même s’ils ne consomment pas d’énergie. Ils peuvent, par exemple, se brancher après le travail et programmer le véhicule pour qu’il se charge pendant la nuit lorsque les prix sont plus bas. Si un pirate devait allumer ou éteindre simultanément des milliers, voire des millions de chargeurs, il pourrait déstabiliser et même faire tomber des réseaux électriques entiers.
« Nous avons créé par inadvertance une arme que les États-nations peuvent utiliser contre notre réseau électrique », déclare Munro. Les États-Unis ont entrevu à quoi pourrait ressembler une telle attaque en 2021 lorsque des pirates détourné Colonial Pipeline et interrompu l’approvisionnement en essence dans tout le pays. L’attaque a pris fin une fois que l’entreprise a payé des millions de dollars en rançon.
La principale recommandation de Munro pour les consommateurs est de ne pas connecter leurs chargeurs domestiques à Internet, ce qui devrait empêcher l’exploitation de la plupart des vulnérabilités. L’essentiel des garanties doit cependant provenir des fabricants.
« Il est de la responsabilité des entreprises offrant ces services de s’assurer qu’ils sont sécurisés », déclare Jacob Hoffman-Andrews, technologue senior à l’Electronic Frontier Foundation, une organisation à but non lucratif pour les droits numériques. « Dans une certaine mesure, vous devez faire confiance à l’appareil auquel vous vous connectez. »
Electrify America a refusé une demande d’entretien. En ce qui concerne les problèmes documentés par Malcolm et les Kilowatts, le porte-parole Octavio Navarro a écrit dans un e-mail que les incidents étaient isolés et que les correctifs avaient été rapidement déployés. Dans un communiqué, la société a déclaré: « Electrify America surveille et renforce constamment les mesures pour nous protéger et protéger nos clients et se concentre sur la conception de stations et de réseaux atténuant les risques. »
Pen Test Partners a écrit dans ses conclusions que les entreprises étaient dans l’ensemble réactives à la correction des vulnérabilités identifiées, ChargePoint et d’autres comblant les lacunes en moins de 24 heures (bien qu’une entreprise ait créé un nouveau trou en essayant de corriger l’ancien). Project EV n’a pas répondu aux Pen Test Partners, mais a finalement mis en œuvre « une authentification et une autorisation fortes ». Les experts, cependant, affirment qu’il est grand temps pour l’industrie d’aller au-delà de cette approche déconcertante de la cybersécurité.
« Tout le monde sait que c’est un problème et beaucoup de gens essaient de trouver la meilleure façon de le résoudre », déclare Johnson, ajoutant qu’il a constaté des progrès. Par exemple, de nombreuses bornes de recharge publiques sont passées à des méthodes de transmission de données plus sécurisées. Mais en ce qui concerne un ensemble coordonné de normes, dit-il, « il n’y a pas beaucoup de réglementation là-bas ».
Il y a eu une certaine tendance à changer cela. La loi bipartite sur les infrastructures de 2021 inclus quelque 7,5 milliards de dollars pour étendre le réseau de recharge des véhicules électriques à travers les États-Unis, et l’administration Biden a intégré la cybersécurité à cette initiative. L’automne dernier, la Maison Blanche a réuni des fabricants et des décideurs pour discuter d’une voie à suivre pour garantir que le matériel de recharge de plus en plus vital pour les véhicules électriques est correctement protégé.
« Notre infrastructure critique doit atteindre un niveau de sécurité et de résilience de base », déclare Harry Krejsa, stratège en chef au bureau de la Maison Blanche du directeur national de la cybersécurité. Il a également fait valoir que le renforcement de la cybersécurité des véhicules électriques consiste autant à renforcer la confiance qu’à atténuer les risques. Les systèmes sécurisés, dit-il, « nous donnent la confiance dans nos fondations numériques de nouvelle génération pour viser plus haut que nous n’aurions pu l’être autrement ».
Poster un commentaire