L’augmentation du nombre de voitures électriques sur les routes s’accompagne d’un besoin accru de stations de recharge de véhicules électriques (VE) et de systèmes de gestion basés sur Internet pour ces stations. Cependant, ces systèmes de gestion sont confrontés à leurs propres problèmes : les attaques de cybersécurité.
Elias Bou-Harb, directeur du Cyber Center for Security and Analytics de l’UTSA, et ses collègues – Claud Fachkha de l’Université de Dubaï et Tony Nasr, Sadegh Torabi et Chadi Assi de l’Université Concordia à Montréal – font la lumière sur les vulnérabilités de ces cyber-systèmes. Les chercheurs recommandent également des mesures qui permettraient de les protéger.
Les systèmes intégrés aux voitures électriques remplissent des fonctions essentielles sur Internet, notamment la surveillance à distance et la facturation des clients, tout comme un nombre croissant de stations de recharge de VE connectées à Internet.
“De nombreux membres de l’industrie ont déjà reconnu les vulnérabilités que nous avons découvertes.”
Bou-Harb et ses collègues chercheurs ont voulu explorer les implications réelles des cyberattaques contre les systèmes de recharge des VE et la manière d’utiliser les contre-mesures de cybersécurité pour les atténuer. Son équipe a également évalué comment des systèmes exploités peuvent attaquer des infrastructures critiques telles que le réseau électrique.
“Les véhicules électriques sont la norme de nos jours. Cependant, leurs stations de gestion sont sensibles aux exploitations de sécurité”, a déclaré M. Bou-Harb, qui est professeur associé au département des systèmes d’information et de la cybersécurité du Carlos Alvarez College of Business. “Dans ce travail, nous nous sommes efforcés de découvrir leurs faiblesses de sécurité connexes et de comprendre leurs conséquences sur les véhicules électriques et le réseau intelligent, tout en fournissant des recommandations et en partageant nos conclusions avec l’industrie concernée pour une remédiation proactive de la sécurité.”
L’équipe a identifié 16 systèmes de gestion de la recharge des véhicules électriques, qu’elle a divisés en catégories distinctes telles que les micrologiciels, les applications mobiles et les applications Web. Elle a effectué une analyse de sécurité approfondie sur chacun d’entre eux.
“Nous avons conçu une approche de recherche et de collecte de systèmes pour identifier un grand nombre de systèmes de charge de véhicules électriques, puis nous avons utilisé des techniques de rétro-ingénierie et de test de pénétration d’applications web en boîte blanche/blanche pour effectuer une analyse approfondie des vulnérabilités”, a déclaré Bou-Harb.
L’équipe a découvert une série de vulnérabilités parmi les 16 systèmes et a mis en évidence les 13 vulnérabilités les plus graves telles que l’absence d’authentification et les scripts intersites. En exploitant ces vulnérabilités, les attaquants peuvent causer plusieurs problèmes, y compris manipuler le firmware ou se déguiser en utilisateurs réels et accéder aux données des utilisateurs.
Selon une étude récente du livre blanc des chercheurs, “bien qu’il soit possible de mener différentes attaques sur diverses entités au sein de l’écosystème des véhicules électriques, dans ce travail, nous nous concentrons sur l’étude des attaques à grande échelle qui ont un impact sévère sur la station de charge compromise, son utilisateur et le réseau électrique connecté.”
Au cours de ce projet, l’équipe a développé plusieurs mesures de sécurité, des directives et des meilleures pratiques pour les développeurs afin d’atténuer les cyberattaques. Ils ont également créé des contre-mesures pour corriger chaque vulnérabilité individuelle qu’ils ont trouvée.
Pour éviter une attaque massive du réseau électrique, les chercheurs recommandent aux développeurs de corriger les vulnérabilités existantes, mais aussi d’intégrer des mesures de sécurité initiales lors de la fabrication des stations de recharge.
“De nombreux membres de l’industrie ont déjà reconnu les vulnérabilités que nous avons mises en évidence”, a déclaré Bou-Harb. “Ces informations permettront d’immuniser ces stations de recharge afin de protéger le public et de fournir des recommandations pour les futures solutions de sécurité dans le contexte des VE et du réseau intelligent.”
Les chercheurs prévoient de poursuivre l’analyse d’autres stations de recharge afin de mieux comprendre leur niveau de sécurité. Ils travaillent également avec plusieurs partenaires de l’industrie pour aider à façonner de nouveaux produits de sécurité dès la phase de conception et pour développer des mesures de résilience de sécurité qui protègent les stations de recharge vulnérables contre l’exploitation.
Référence : “Power jacking your station : In-depth security analysis of electric vehicle charging station management systems” par Tony Nasr, Sadegh Torabi, Elias Bou-Harb, Claude Fachkha et Chadi Assi, 3 novembre 2021, Ordinateurs et sécurité.
DOI: 10.1016/j.cose.2021.102511
