Les autorités norvégiennes ont découvert d'importantes failles de cybersécurité dans les bus électriques Yutong fabriqués en Chine, notamment des cartes SIM cachées et des portes dérobées logicielles qui pourraient permettre des arrêts à distance depuis l'étranger. Découverte lors de tests de sécurité de routine effectués par Ruter, l'opérateur de transports publics d'Oslo, cette faille soulève des inquiétudes quant à la sécurité des véhicules connectés. Alors que plus de 1 200 bus font actuellement l'objet d'une enquête, la Norvège revoit ses protocoles de cybersécurité et ses politiques d'approvisionnement afin de parer à ces risques dans les infrastructures critiques.Yutong (officiellement Zhengzhou Yutong Group Co., Ltd.) est un constructeur chinois de véhicules utilitaires, en particulier d'autobus électriques, dont le siège social est situé à Zhengzhou, dans la province du Henan. Yutong est également présent dans les secteurs des engins de chantier, de l'immobilier et d'autres investissements. En 2016, il était le plus grand constructeur d'autobus au monde en termes de volume de ventes.
Dans une révélation qui a provoqué une onde de choc dans le secteur des transports publics européens, les autorités norvégiennes ont découvert des capacités d'accès à distance cachées dans les bus électriques fabriqués par la société chinoise Yutong. Ces fonctionnalités, notamment des cartes SIM dissimulées et des portes dérobées logicielles, permettent d'éventuels arrêts à distance depuis l'étranger, ce qui a conduit à une révision urgente des protocoles de cybersécurité dans les infrastructures critiques.
Cette découverte a été faite lors de tests de sécurité de routine menés par Ruter, l'opérateur de transports publics d'Oslo, sur une flotte de bus Yutong nouvellement acquis. Selon les rapports, les bus contiennent des systèmes embarqués qui permettent des diagnostics à distance, des mises à jour logicielles et même le contrôle des systèmes de batterie et d'alimentation, des capacités qui pourraient théoriquement interrompre leur fonctionnement à des milliers de kilomètres de distance, en Chine.
Cet incident met en évidence les préoccupations croissantes concernant les vulnérabilités de la chaîne d'approvisionnement à l'ère des véhicules connectés, où les bus électriques représentent un élément clé de la mobilité urbaine durable. Les experts du secteur avertissent que ces fonctionnalités cachées pourraient être exploitées non seulement par les fabricants, mais aussi par des acteurs malveillants, ce qui soulève des inquiétudes quant à la sécurité nationale dans un paysage des transports de plus en plus numérisé.
Révélation de la vulnérabilité
Les détails ont été révélés à la suite d'un audit de sécurité lancé après que Ruter ait testé les fonctionnalités de connectivité des bus. Des cartes SIM d'accès à distance cachées ont été découvertes, permettant un contrôle externe non autorisé. « Nous avons identifié des risques liés à l'accès à distance qui pourraient potentiellement affecter le fonctionnement des bus », a déclaré un porte-parole de Ruter dans l'article.
Des enquêtes plus approfondies ont révélé la présence d'une carte SD dans les bus qui permet au constructeur d'accéder à distance aux véhicules. Cela inclut la possibilité de désactiver les véhicules à distance, une fonctionnalité qui n'était pas mentionnée dans les contrats d'achat. Le ministre norvégien des Transports a depuis lancé une enquête approfondie, soulignant la nécessité de transparence dans les chaînes d'approvisionnement internationales.
Des publications sur X ont sensibilisé le public, soulignant que plus de 1 200 bus de ce type ont été commandés pour des raisons environnementales, avant que ces failles de cybersécurité ne soient révélées. Une publication soulignait : « Ils peuvent envoyer à distance des diagnostics, effectuer des mises à jour logicielles et couper l'alimentation de la batterie. »
Implications plus larges pour la sécurité des transports
Le cas de la Norvège n'est pas isolé. Des préoccupations similaires ont été soulevées dans d'autres secteurs, mais ces récentes découvertes marquent une escalade significative dans les transports publics. Comme l'indique certains rapports, le contrôle à distance s'étendrait au module de diagnostic et aux systèmes de batterie des bus, ce qui pourrait entraîner des perturbations massives.
Le gouvernement norvégien examine actuellement les risques liés à la cybersécurité dans l'ensemble des transports publics. « L'accès du fabricant permet d'arrêter les bus depuis la Chine », a confirmé Ruter, ce qui a conduit à la prise de mesures immédiates pour atténuer les menaces.
Les experts du secteur considèrent cela comme un signal d'alarme pour l'Europe. Les médias locaux indiquent que la Norvège mène actuellement une enquête sur ces bus après avoir découvert qu'ils pouvaient être contrôlés à distance, ce qui soulève des inquiétudes plus générales concernant les infrastructures critiques fabriquées à l'étranger.
Analyse technique de la porte dérobée
Au cœur du problème se trouvent les composants de l'Internet des objets (IoT) intégrés aux bus électriques de Yutong. Des experts en sécurité expliquent que ces systèmes comprennent des cartes SIM pour les mises à jour à distance, mais que les protections contre les accès non autorisés sont insuffisantes.
Des centaines de ces bus pourraient ainsi être vulnérables à des coupures à distance, ce qui pourrait bouleverser les normes européennes en matière de cybersécurité dans les transports. « Une récente étude de sécurité a révélé que des centaines de bus électriques de fabrication chinoise en Norvège pourraient être désactivés à distance depuis l'étranger », indiquent plusieurs rapports.
Les autorités norvégiennes collaborent actuellement avec des entreprises spécialisées dans la cybersécurité afin de corriger ces vulnérabilités. Ruter prévoit également d'introduire des exigences de sécurité plus strictes et des mesures anti-piratage à la suite de ces tests.
Tensions géopolitiques et risques liés à la chaîne d'approvisionnement
Ce scandale a alimenté les débats sur la dépendance à l'égard de la technologie chinoise. Le contexte historique évoqué dans plusieurs publications, notamment celles faisant référence aux cyberattaques passées contre le parlement norvégien attribuées à la Chine en 2021, souligne les tensions actuelles.
Les analystes soulignent que cela s'inscrit dans un contexte général d'inquiétudes concernant les entités publiques chinoises dans les infrastructures critiques. « Le fabricant pourrait les désactiver à distance », répètent plusieurs rapports, soulignant les risques potentiels d'espionnage ou de sabotage.
En réponse, la Norvège durcit ses politiques d'approvisionnement. Un article publié sur X par Luke de Pulford, de l'Alliance interparlementaire sur la Chine, fait état de l'enquête menée par le ministre des Transports sur les cartes SIM permettant le contrôle à distance, reflétant ainsi la surveillance accrue exercée par l'Europe sur les importations de technologies chinoises.
Réactions de l'industrie et mesures de protection futures
Les constructeurs d'autobus du monde entier suivent la situation de près. Yutong n'a pas répondu publiquement à ces allégations, mais les experts suggèrent que cela pourrait conduire à des certifications obligatoires en matière de cybersécurité pour les véhicules importés. La presse chinoise a rapporté : « Le constructeur a accès aux systèmes de contrôle des véhicules, qui pourraient en théorie être utilisés pour les mettre hors service. »
Les régulateurs européens pourraient suivre l'exemple de la Norvège et appeler à la diversification des chaînes d'approvisionnement. Comme l'indique certains rapports, Ruter renforce ses mesures anti-piratage afin d'empêcher les arrêts à distance.
Les sentiments exprimés sur les réseaux sociaux mettant en garde contre les arrêts à distance témoignent de l'indignation du public et appellent à la responsabilisation. Cet événement pourrait accélérer l'adoption de la blockchain ou de la sécurité basée sur l'IA dans l'IoT des transports.
Compromis économiques et environnementaux...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
