Au cours des cinq dernières années, les voitures électriques ont connu une progression incroyable : elles sont passées d’un gadget un peu futuriste et peu pratique à un produit réellement attrayant. Alors que les prix ont baissé de façon considérable, le nombre de voitures électriques vendues a dépassé les 2 millions au début de l’année 2017 et ne cesse d’augmenter. L’infrastructure pour les voitures électriques se développe rapidement et il est donc de plus en plus fréquent de voir des stations de recharge dans son quartier.
Mais, comme c’est habituellement le cas lorsque l’on se retrouve face à une opportunité économique qui se développe rapidement, les fabricants se lancent dans la compétition et tentent d’obtenir la plus grande part de marché possible sans trop réfléchir à l’avenir. Bien entendu, nous parlons ici de la sécurité. Dans ce cas, il ne s’agit pas de votre sécurité physique (vous avez peu de risques de vous blesser avec un chargeur électrique), mais de la cybersécurité. Les implantations existantes du concept de base (payer et recharger) ne se préoccupent pas beaucoup du respect de vos données personnelles et de votre argent. Mathias Dalheimer a évoqué ce problème lors de la trente-quatrième édition du Chaos Communication Congress, dans son discours sur les vulnérabilités de l’infrastructure des voitures électriques.
Comment fonctionne réellement la recharge
Au fur et à mesure que le nombre de voitures électriques augmente, il y a également de plus en plus de stations de recharge où les fournisseurs de stations reçoivent de l’argent en échange de l’apport d’énergie. Elles ont besoin d’un système de facturation intégré pour ces transactions ; avant de commencer à recharger votre voiture, vous devez vous identifier à l’aide de votre jeton d’identification de charge, une carte spéciale de communication en champ proche (NFC) associée à votre compte.
La facturation de la mobilité électrique est normalement effectuée à l’aide du protocole Open Charge Point Protocol, qui régule les communications entre les systèmes de gestion de facturation d’une part et le point de recharge électrique de l’autre. Le point de recharge envoie une demande vous identifiant au système de facturation ; la gestion de la facturation approuve la demande et le fait savoir au point de recharge, et la station vous permet de commencer à recharger. Ensuite, la quantité d’électricité est calculée et renvoyée au système de gestion des factures pour qu’il puisse vous facturer à la fin du mois.
Rien de surprenant ni même de vraiment nouveau, n’est-ce pas ? Regardons de plus près et voyons où les problèmes commencent.
Des problèmes, des problèmes partout
Dalheimer a sondé différents composants du système et constaté que tous posaient problème en matière de sécurité. Le premier : les jetons d’identification. Ils sont fabriqués par des fournisseurs tiers et – surprise ! – la plupart d’entre eux ne sécurisent pas vos données. Il s’agit de cartes NFC très simples qui ne chiffrent pas votre identifiant, ni aucun élément qu’elles contiennent. Mais ce n’est pas le seul problème posé par les cartes. D’abord, elles sont assez faciles à programmer, ce que Mathias a démontré en copiant sa propre carte et en réussissant à l’utiliser pour recharger. Il serait facile pour une personne avertie de programmer un tas de cartes, en espérant tomber sur un numéro de compte courant. (Mathias n’a pas essayé de le faire pour des raisons éthiques.)
Étant donné que les fournisseurs de recharge ne facturent qu’une fois par mois, si le compte d’un propriétaire de voiture est compromis de cette façon, il ne pourra pas se rendre compte du problème jusqu’à ce que la facture mensuelle arrive.
Encore une chose bizarre relative à la procédure : la plupart des stations utilisent la version 2012 du protocole OCPP, déjà relativement ancien et basé sur HTTP. (Nous savons tous ce qui ne va pas avec HTTP, qui n’utilise aucun chiffrement pour les transactions.) Mathias a démontré à quel point il est facile de mettre en place une attaque de l’homme du milieu en relayant la transaction.
De plus, les deux stations examinées par Mathias avaient des ports USB. Il suffit d’y brancher un lecteur flash vide, et les journaux et les données de configuration seront copiés sur le lecteur. À partir de ces données, il est facile d’obtenir l’identifiant et le mot de passe pour le serveur OCPP et, si déjà, les numéros de jeton des utilisateurs précédents – ce qui, n’oubliez pas, est tout ce dont vous avez besoin pour les imiter.
Pire encore, si les données du lecteur sont modifiées et que le lecteur USB est ensuite réinséré sur le point de recharge, ce dernier se met automatiquement à jour et considère les données du lecteur comme sa nouvelle configuration. Et cela ouvre beaucoup de nouvelles possibilités pour les hackers.
Pour résumer, les criminels peuvent : collecter des numéros de carte d’identification, les imiter et les utiliser pour effectuer des transactions (pour lesquelles les véritables titulaires de compte devront payer) ; réinitialiser les demandes de recharge, ce qui revient à désactiver le point de recharge ; obtenir un accès root à la station et y faire ensuite ce qu’ils veulent. Tout cela parce que les fournisseurs ont choisi de ne pas se soucier de la sécurité.