Le principal opérateur de transports publics norvégien a annoncé des exigences de sécurité plus strictes et des mesures anti-piratage accrues après que des tests sur un nouveau bus électrique de fabrication chinoise ont montré qu’il pouvait être arrêté à distance.
L’opérateur de transport Luter a déclaré que les résultats des tests publiés la semaine dernière montraient que le constructeur chinois de bus Yutong Group était en mesure d’accéder à son système de contrôle pour les mises à jour logicielles et les diagnostics. « En théorie, cela pourrait être exploité pour affecter les bus », a déclaré la société.
Des tests de conduite de bus à l’intérieur de mines souterraines afin d’éliminer les signaux externes ont été effectués à la fois sur des bus Yutong flambant neufs et sur des véhicules vieux de trois ans du constructeur de bus néerlandais VDL, a indiqué la société. Les bus néerlandais n’ont pas la capacité d’effectuer des mises à jour logicielles en direct, mais des tests ont montré que les bus fabriqués en Chine le font.
Euton n’a pas immédiatement répondu à une demande de commentaires de l’Associated Press mercredi.
Le journal Guardian, qui a rendu compte de la question, a cité une déclaration de la société chinoise affirmant qu’elle « se conforme strictement » aux lois et réglementations des lieux où les véhicules circulent. Les données sur les bus de l’entreprise sont stockées en Allemagne, indique le communiqué.
Le journal cite un porte-parole anonyme de Yutong qui a déclaré que les données sont cryptées et « seront utilisées uniquement pour la maintenance, l’optimisation et les améliorations liées aux véhicules afin de répondre aux besoins de service après-vente des clients ».
Selon le site Internet de Yutong, l’entreprise a vendu des dizaines de milliers de véhicules en Europe, en Afrique, en Amérique latine et dans la région Asie-Pacifique au cours des dernières décennies.
L’étude a été lancée en partie en raison de préoccupations concernant la surveillance, alors que de nombreux pays d’Europe, d’Amérique du Nord et d’ailleurs prennent des mesures pour protéger les données des consommateurs et des contrôles à distance.
Inquiétudes croissantes concernant le contrôle à distance des véhicules électriques
Les résultats montrent que « les constructeurs ont un accès numérique direct aux bus individuels pour les mises à jour logicielles et les diagnostics », a déclaré Ruuter, soulignant que la société exploite la moitié du système de transports publics norvégien, desservant Oslo et la région orientale d’Akershus.
Les inquiétudes concernant le contrôle à distance des véhicules électriques ne sont pas nouvelles. Les régulateurs américains ont ouvert une enquête sur Tesla en janvier après des informations faisant état d’accidents impliquant l’utilisation par l’entreprise d’une technologie permettant aux conducteurs d’utiliser une application téléphonique pour commander à distance au véhicule de retourner à son véhicule ou de se déplacer vers un autre endroit.
Les bus Yutong sont exploités par des humains, et non par des véhicules autonomes comme les taxis et les navettes dans des endroits comme la Californie et la Chine.
« Après ce test, Rooter est passé d’une préoccupation à une connaissance concrète sur la façon dont nous pouvons mettre en œuvre des systèmes de sécurité qui nous protègent contre les activités indésirables et le piratage des systèmes de données des bus », a déclaré Bernd Reitan Jensen, PDG de Rooter, dans un communiqué.
« Les véhicules de toutes sortes » de ce type sont à risque
Au Danemark voisin, la société de transport Movia a déclaré qu’elle procédait à une évaluation des risques de cybersécurité et d’espionnage sur les bus réguliers et qu’elle envisageait d’éventuelles mesures pour prévenir le piratage, l’utilisation abusive des données et le risque de neutralisation des bus.
Movia a déclaré que les autorités danoises n’avaient signalé aucun cas d’arrêt de bus, mais qu’elles cherchaient des moyens d’éliminer cette vulnérabilité.
Les nouvelles découvertes, présentées lors de la conférence sur les transports InformNorden par des consultants de l’Université du sud-est de la Norvège, montrent que ni les pirates informatiques ni les fournisseurs n’ont de contrôle sur les bus.
« Il est également important de souligner que le conseiller principal de la Norvège a déclaré que ce n’était pas un problème pour les bus chinois, mais pour tous les types de véhicules et d’équipements intégrant ce type d’équipement électronique », a déclaré Mobia dans un courrier électronique.
Renforcer les règles de sécurité
Les caméras des bus ne sont pas connectées à Internet, donc « il n’y a aucun risque de transmission d’images ou de vidéos depuis le bus », a déclaré Ruuter, propriétaire d’une flotte de plus de 100 bus Yutong. Le bus ne peut pas être contrôlé à distance.
Néanmoins, Luters a déclaré que les fabricants peuvent accéder aux systèmes de contrôle de la batterie et de l’alimentation via les réseaux mobiles. Cela signifiait théoriquement que les bus « pourraient être arrêtés ou mis hors service par le constructeur ».
La société norvégienne a déclaré qu’elle réagirait en imposant des règles de sécurité plus strictes pour les futurs achats, en développant des pare-feu pour assurer le contrôle local et empêcher le piratage, et en travaillant avec les autorités sur des « exigences claires en matière de cybersécurité ».
Ils prennent également des mesures pour retarder le signal entrant « afin que nous connaissions les mises à jour envoyées avant qu’elles n’atteignent le bus ».
