Des experts en cybersécurité ont identifié et exploité plusieurs failles critiques au sein de l’écosystème des véhicules électriques et connectés. Les bornes de recharge à domicile et dans les entreprises sont en particulier mal sécurisées.
Aux États-Unis, la cybercriminalité autour des bornes de recharge est de plus en plus répandue. C’est ce que montre le rapport Automotive & Smart Mobility Global Cybersecurity Report 2025 d’Upstream.
Près de 400 actions malveillantes ont visé l’automobile et la mobilité intelligente, soit une hausse de 39 % en un an. Parmi ces attaques, 4 % visaient en 2023 les bornes de recharge. En 2024, leur part est passée à 6 %.
Un constat confirmé lors du concours international « Pwn2Own Automotive 2025 » qui vient de se dérouler à Tokyo. Comme à l’accoutumée, l’équipe française de Synacktiv a démontré ses capacités en cybersécurité offensive en remportant la seconde place de ce concours. Leurs découvertes révèlent des surfaces d’attaque jusqu’ici sous-estimées, qui pourraient être exploitées par des cybercriminels pour compromettre la sécurité des utilisateurs et perturber l’approvisionnement en énergie.
Plusieurs dispositifs de recharge de véhicules électriques présentent des failles, dont le Tesla Energy Wall Connector. Une vulnérabilité dans le protocole de communication avec les voitures sur le câble de charge permet en effet à une personne de réaliser des manipulations malveillantes simplement en se connectant à la borne de charge comme le ferait une voiture. Depuis ce concours, Tesla a déployé des correctifs de sécurité.
L’exploitation de ces failles pourrait avoir des conséquences graves, telles que :
- Intrusions réseau : Les attaquants pourraient utiliser ces vulnérabilités pour s’infiltrer dans les réseaux internes des opérateurs de recharge et des constructeurs automobiles.
- Manipulation des flux d’énergie : Une prise de contrôle des systèmes de charge pourrait engendrer des perturbations sur la gestion de l’électricité, altérant la facturation et la distribution d’énergie.
- Interruption des services : L’exploitation de ces failles pourrait rendre certaines bornes de recharge inopérantes, impactant directement les utilisateurs et la continuité du service.
Les fabricants de bornes se moquent de la sécurité
« Nous n’avons pas étudié les bornes installées sur les autoroutes, car c’est un peu compliqué de se les procurer pour les étudier. Concernant une borne installée dans un domicile, en extérieur près du garage par exemple, on peut imaginer une personne utilisant cette borne comme point d’entrée dans le réseau domestique (ces équipements étant généralement connectées en Wi-Fi) pour accéder aux périphériques sur le réseau local (disques durs connectés du type NAS, imprimantes, etc.) », explique David Berard, expert sécurité spécialisé dans la rétro-ingénierie de systèmes embarqués et mobiles chez Synacktiv.
Mais cette mauvaise gestion de la sécurité est encore plus problématique pour les entreprises qui ont installé des bornes sur leur parking. « Une personne malveillante peut non seulement recharger son véhicule gratuitement, mais elle pourrait aussi infiltrer le réseau informatique de l’entreprise. »
« L’an dernier, nous avons attaqué le système d’Ubiquiti[1] conçu pour s’intégrer dans le réseau de l’entreprise. L’accès à la recharge est possible pour les employés avec le même badge qui leur sert à rentrer dans le bâtiment. Attaquer ce genre de système (généralement en extérieur) est une porte d’entrée vers le réseau de l’entreprise », prévient notre expert.
Il est indispensable que les sociétés renforcent le contrôle des identités des personnes qui s’y connectent et de limiter au maximum les interfaces. Ces bornes sont généralement connectées en Bluetooth et en Wi-Fi. Ce n’est pas forcément nécessaire pour les propriétaires des voitures électriques et ça augmente les pistes exploitables par les cybercriminels. Il est préférable de favoriser l’option « plug & charge », souligne David Berard.
Avec la fonction « plug & charge », le conducteur d’un véhicule électrique (Tesla, Porsche, Audi, Mercedes, BMW, Ford et Volkswagen notamment) n’a plus besoin de présenter un badge RFID ou sa carte de paiement pour procéder au règlement. Sa voiture est automatiquement identifiée dès que l’on branche le câble de recharge.
Ces mesures de sécurité doivent être aussi appliquées par les fabricants des bornes. « Malheureusement, sur ce genre de produit, il y a peu d’investissements, ce n’est pas vraiment leur priorité comme nous avons pu constater. Depuis la précédente édition de ce concours, certains constructeurs n’ont toujours pas intégré de correctifs de sécurité ; ils n’ont pas eu le temps officiellement… » nous déclare David Berard.
Une négligence que l’on retrouve dans de nombreux appareils connectés comme les caméras et les serrures… Comme pour la cybersécurité des entreprises, la mise en place de tests de sécurité réguliers, l’audit des systèmes et l’intégration de la cybersécurité dès la conception des équipements sont désormais indispensables pour sécuriser l’écosystème des véhicules électriques et connectés.
Crédit visuel de une : image générée sur Adobe Firefly
[1] Ubiquiti
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE