Kill switches cachés : le Royaume-Uni enquête sur les risques de cybersécurité liés aux bus électriques Yutong fabriqués en Chine, qui peuvent être désactivés à distance

Kill switches cachés : le Royaume-Uni enquête sur les risques de cybersécurité liés aux bus électriques Yutong fabriqués en Chine, qui peuvent être désactivés à distance, à la suite de la découverte similaire

Le Royaume-Uni enquête pour déterminer si les bus électriques Yutong fabriqués en Chine peuvent être désactivés à distance, après la découverte de vulnérabilités similaires en Norvège et au Danemark. Cette enquête met en évidence les risques liés à la cybersécurité des infrastructures critiques dans un contexte de tensions avec Pékin. Les autorités évaluent plus de 2 500 bus afin de déterminer s'ils sont susceptibles d'être piratés à distance.

Récemment, les autorités norvégiennes ont découvert d'importantes failles de cybersécurité dans les bus électriques Yutong fabriqués en Chine, notamment des cartes SIM cachées et des portes dérobées logicielles qui pourraient permettre des arrêts à distance depuis l'étranger. Découverte lors de tests de sécurité de routine effectués par Ruter, l'opérateur de transports publics d'Oslo, cette faille soulève des inquiétudes quant à la sécurité des véhicules connectés. Alors que plus de 1 200 bus font actuellement l'objet d'une enquête, la Norvège revoit ses protocoles de cybersécurité et ses politiques d'approvisionnement afin de parer à ces risques dans les infrastructures critiques.

Dans un contexte de tensions croissantes liées aux vulnérabilités de la chaîne d'approvisionnement, le gouvernement britannique a fait appel à ses meilleurs experts en cybersécurité pour déterminer si des centaines de bus électriques de fabrication chinoise circulant sur les routes britanniques pouvaient être désactivés à distance par leur constructeur. L'enquête, lancée par le ministère des Transports en collaboration avec le Centre national de cybersécurité (NCSC), fait suite à des découvertes alarmantes en Norvège et au Danemark, où des véhicules similaires se sont avérés dotés de capacités d'accès à distance intégrées à leurs systèmes.

Les bus en question sont produits par Yutong, l'un des principaux constructeurs chinois de véhicules électriques. Selon certaines informations, ces véhicules ont été intégrés aux flottes de transports publics à travers l'Angleterre, avec plus de 2 500 unités en service depuis 2018 selon les estimations. Les inquiétudes portent sur les logiciels et les modules de diagnostic qui pourraient permettre une intervention à distance, susceptible d'arrêter les bus en cours de fonctionnement, un scénario qui soulève des inquiétudes en matière de sécurité nationale dans un contexte de tensions géopolitiques croissantes avec Pékin.

Les autorités s'empressent d'évaluer les risques après que les autorités norvégiennes ont révélé que les bus Yutong pouvaient être « arrêtés ou rendus inutilisables » à distance grâce à des commandes situées dans leurs systèmes de batterie et d'alimentation. De même, les transporteurs danois ont lancé des enquêtes urgentes sur les failles de sécurité permettant l'accès à distance pour les mises à jour logicielles.


L'enquête britannique reflète un examen plus large de la technologie chinoise dans les infrastructures critiques en Europe. En Norvège, des tests ont révélé la présence de cartes SIM dans les bus qui permettaient des mises à jour et un contrôle à distance, ce qui a incité le ministre des Transports Jon-Ivar Nygård à promettre des mesures de sécurité renforcées. « Nous ne pouvons accepter que des acteurs étrangers aient la possibilité d'interférer avec nos transports publics », a déclaré Nygård dans une allocution publique.

La réaction du Danemark a été tout aussi rapide. Les opérateurs de bus ont découvert que les systèmes de Yutong permettaient des diagnostics à distance, compromettant potentiellement le contrôle des véhicules. « Il s'agit d'une course contre la montre pour combler une faille de sécurité », a déclaré un responsable danois, soulignant l'urgence de la situation alors que les fournisseurs s'efforçaient de corriger les vulnérabilités.

Ces incidents ont amplifié les craintes au Royaume-Uni, où les bus Yutong desservent des villes et des villages. L'enquête vise à déterminer si les véhicules peuvent être « arrêtés à distance », des sources indiquant que l'ingérence à distance de Pékin pourrait perturber les services publics. Un rapport a souligné que l'enquête britannique fait suite à des actions similaires au Danemark et aux Pays-Bas, qui enquêtent sur la désactivation potentielle de centaines de bus. Cela a conduit à des appels à la diversification des chaînes d'approvisionnement afin de réduire la domination chinoise dans le domaine des véhicules électriques.

Au cœur du problème se trouvent les systèmes télématiques et de gestion des batteries intégrés aux bus. Les experts en cybersécurité avertissent que ces fonctionnalités, conçues pour la maintenance et l'efficacité, pourraient être exploitées. En Norvège, des diagnostics ont révélé des capacités d'arrêt à distance dans les systèmes de contrôle de l'alimentation, qui note que si l'importateur britannique affirme se conformer aux lois locales, la possibilité d'un accès à distance persiste.

Les initiés du secteur soulignent les lois chinoises sur la sécurité nationale, qui obligent les entreprises comme Yutong à coopérer avec les services de renseignement de l'État. « En vertu de la législation chinoise, toute entreprise chinoise peut être tenue de communiquer toutes ses données ou tous ses accès », a observé un utilisateur sur X, reflétant les sentiments exprimés dans des publications discutant des risques.


Cette controverse survient dans un contexte de tensions accrues entre le Royaume-Uni et la Chine, notamment en raison de récents piratages attribués à des acteurs chinois. Un rapport a fait état d'efforts généralisés de la part d'acteurs étatiques chinois pour accéder aux infrastructures critiques britanniques, notamment un incident survenu en 2024 impliquant le système de paie du ministère britannique de la Défense.

Des experts ont mis en garde contre l'ampleur « épique » de l'espionnage chinois, avec plus de 20 000 personnes britanniques approchées en ligne. Ce contexte alimente les craintes que les bus puissent être utilisés comme arme dans une guerre hybride, perturbant les réseaux de transport. Les véhicules Yutong, achetés par les réseaux de transport britanniques, pourraient être pris en main à distance, avec un parc total dépassant les 2 500 unités. « Il ne s'agit pas seulement des bus, mais aussi de l'intégrité de nos infrastructures », a déclaré un analyste en cybersécurité.

Yutong a défendu ses produits, affirmant que les fonctionnalités à distance sont destinées à des fins légitimes telles que le diagnostic. Cependant, les importateurs britanniques sont sous pression pour démontrer leur conformité, le fournisseur s'engageant à respecter la réglementation britannique. En réponse, les pays européens renforcent leurs défenses. La Norvège renforce ses protocoles de sécurité, tandis que le Danemark s'empresse de combler les lacunes. Le NCSC britannique procède à des audits approfondis, qui pourraient déboucher sur des correctifs logiciels ou le remplacement de flottes.

Les réactions, y compris celles des observateurs du secteur, soulignent la nécessité de rester vigilant. L'une d'elles fait le lien avec des débats plus larges sur la mondialisation et la cybersécurité. Ce scandale met en évidence les vulnérabilités du passage mondial aux véhicules électriques, dont la chaîne d'approvisionnement est en grande partie contrôlée par la Chine. Les analystes avertissent que des risques similaires pourraient s'étendre à d'autres véhicules électriques, aux réseaux intelligents et aux appareils IoT.

Alors que l'enquête se poursuit, le Royaume-Uni vise à protéger son secteur des transports. « Nous devons nous assurer que nos services publics ne sont pas à la merci de puissances étrangères », a déclaré une source gouvernementale, résumant ainsi les enjeux de ce paysage cybermenace en constante évolution.

Source : Ministère britannique des Transports

Et vous ?

Pensez-vous que cette enquête est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Des dispositifs de communication malveillants découverts dans des onduleurs solaires chinois, capables de contourner les pare-feux et d'éteindre les onduleurs à distance ou de modifier leurs paramètres

Des chercheurs découvrent un logiciel espion chinois utilisé pour cibler les appareils Android et collecter des informations sensibles, notamment les journaux d'appels, les coordonnées GPS et les contacts


Le piratage des télécommunications aux USA prouve qu'installer des portes dérobées « uniquement à usage des forces de l'ordre » est absurde. Les experts en sécurité avaient pourtant tiré la sonnette d'alarme