Les autorités norvégiennes ont découvert d'importantes failles de cybersécurité dans les bus électriques Yutong fabriqués en Chine, notamment des cartes SIM cachées et des portes dérobées logicielles qui pourraient permettre des arrêts à distance depuis l'étranger. Découverte lors de tests de sécurité de routine effectués par Ruter, l'opérateur de transports publics d'Oslo, cette faille soulève des inquiétudes quant à la sécurité des véhicules connectés. Alors que plus de 1 200 bus font actuellement l'objet d'une enquête, la Norvège revoit ses protocoles de cybersécurité et ses politiques d'approvisionnement afin de parer à ces risques dans les infrastructures critiques.Yutong (officiellement Zhengzhou Yutong Group Co., Ltd.) est un constructeur chinois de véhicules utilitaires, en particulier d'autobus électriques, dont le siège social est situé à Zhengzhou, dans la province du Henan. Yutong est également présent dans les secteurs des engins de chantier, de l'immobilier et d'autres investissements. En 2016, il était le plus grand constructeur d'autobus au monde en termes de volume de ventes.
Dans une révélation qui a provoqué une onde de choc dans le secteur des transports publics européens, les autorités norvégiennes ont découvert des capacités d'accès à distance cachées dans les bus électriques fabriqués par la société chinoise Yutong. Ces fonctionnalités, notamment des cartes SIM dissimulées et des portes dérobées logicielles, permettent d'éventuels arrêts à distance depuis l'étranger, ce qui a conduit à une révision urgente des protocoles de cybersécurité dans les infrastructures critiques.
Cette découverte a été faite lors de tests de sécurité de routine menés par Ruter, l'opérateur de transports publics d'Oslo, sur une flotte de bus Yutong nouvellement acquis. Selon les rapports, les bus contiennent des systèmes embarqués qui permettent des diagnostics à distance, des mises à jour logicielles et même le contrôle des systèmes de batterie et d'alimentation, des capacités qui pourraient théoriquement interrompre leur fonctionnement à des milliers de kilomètres de distance, en Chine.
Cet incident met en évidence les préoccupations croissantes concernant les vulnérabilités de la chaîne d'approvisionnement à l'ère des véhicules connectés, où les bus électriques représentent un élément clé de la mobilité urbaine durable. Les experts du secteur avertissent que ces fonctionnalités cachées pourraient être exploitées non seulement par les fabricants, mais aussi par des acteurs malveillants, ce qui soulève des inquiétudes quant à la sécurité nationale dans un paysage des transports de plus en plus numérisé.
Révélation de la vulnérabilité
Les détails ont été révélés à la suite d'un audit de sécurité lancé après que Ruter ait testé les fonctionnalités de connectivité des bus. Des cartes SIM d'accès à distance cachées ont été découvertes, permettant un contrôle externe non autorisé. « Nous avons identifié des risques liés à l'accès à distance qui pourraient potentiellement affecter le fonctionnement des bus », a déclaré un porte-parole de Ruter dans l'article.
Des enquêtes plus approfondies ont révélé la présence d'une carte SD dans les bus qui permet au constructeur d'accéder à distance aux véhicules. Cela inclut la possibilité de désactiver les véhicules à distance, une fonctionnalité qui n'était pas mentionnée dans les contrats d'achat. Le ministre norvégien des Transports a depuis lancé une enquête approfondie, soulignant la nécessité de transparence dans les chaînes d'approvisionnement internationales.
Des publications sur X ont sensibilisé le public, soulignant que plus de 1 200 bus de ce type ont été commandés pour des raisons environnementales, avant que ces failles de cybersécurité ne soient révélées. Une publication soulignait : « Ils peuvent envoyer à distance des diagnostics, effectuer des mises à jour logicielles et couper l'alimentation de la batterie. »
Implications plus larges pour la sécurité des transports
Le cas de la Norvège n'est pas isolé. Des préoccupations similaires ont été soulevées dans d'autres secteurs, mais ces récentes découvertes marquent une escalade significative dans les transports publics. Comme l'indique certains rapports, le contrôle à distance s'étendrait au module de diagnostic et aux systèmes de batterie des bus, ce qui pourrait entraîner des perturbations massives.
Le gouvernement norvégien examine actuellement les risques liés à la cybersécurité dans l'ensemble des transports publics. « L'accès du fabricant permet d'arrêter les bus depuis la Chine », a confirmé Ruter, ce qui a conduit à la prise de mesures immédiates pour atténuer les menaces.
Les experts du secteur considèrent cela comme un signal d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Artemus24
