Norvège : des bus fabriqués en Chine arrêtables à distance, sécurité renforcée

Un important opérateur norvégien de transports publics a annoncé qu’il allait instaurer des exigences de sécurité plus strictes et renforcer les mesures d’antipiratage après qu’un test sur de nouveaux bus électriques fabriqués en Chine a montré que le constructeur pouvait les éteindre à distance.

Ruter, l’opérateur de transport, a indiqué que des résultats de tests publiés la semaine dernière montraient que le constructeur chinois Yutong Group avait accès à leurs systèmes de contrôle pour les mises à jour logicielles et les diagnostics.

« En théorie, cela pourrait être exploité pour affecter le fonctionnement du bus », a-t-il déclaré.

Les tests (les bus étaient conduits dans des mines souterraines pour éliminer tout signal extérieur) ont été menés à la fois sur des bus Yutong neufs et sur des véhicules âgés de trois ans du constructeur néerlandais VDL, a précisé l’entreprise. Selon elle, les tests ont montré que les bus néerlandais n’avaient pas la capacité d’effectuer des mises à jour logicielles à distance, contrairement aux bus fabriqués en Chine.

Yutong n’a pas réagi dans l’immédiat aux demandes de commentaire mercredi.

Le quotidien The Guardian, qui a révélé l’affaire, a cité une déclaration de l’entreprise chinoise affirmant qu’elle « se conforme strictement » aux lois et règlements des lieux où ses véhicules circulent. La déclaration précisait que les données relatives à ses bus étaient stockées en Allemagne.

Le journal a cité un porte-parole de Yutong non identifié, selon qui les données sont chiffrées et « utilisées uniquement pour la maintenance, l’optimisation et l’amélioration liées aux véhicules afin de répondre aux besoins de service après-vente des clients ».

Selon le site de Yutong, l’entreprise a vendu des dizaines de milliers de véhicules en Europe, en Afrique, en Amérique latine et dans la région Asie-Pacifique ces dernières décennies.

Cette étude a été lancée en partie en raison de craintes liées à la surveillance, à un moment où de nombreux pays en Europe, en Amérique du Nord et au-delà prennent des mesures pour protéger les données des consommateurs et les opérations à distance.

Des inquiétudes plus générales sur le contrôle à distance des véhicules électriques

Les conclusions ont montré que « le constructeur dispose d’un accès numérique direct à chaque bus pour les mises à jour logicielles et les diagnostics », a indiqué Ruter, qui affirme assurer la moitié des transports publics en Norvège et opérer à Oslo et dans la région d’Akershus, à l’est.

Les inquiétudes concernant le contrôle à distance des véhicules électriques ne sont pas nouvelles : en janvier, les autorités de régulation américaines ont ouvert une enquête visant Tesla après des signalements d’accidents impliquant l’utilisation d’une technologie de l’entreprise permettant aux conducteurs, via une application mobile, de commander à distance le retour de leur véhicule vers eux ou son déplacement vers un autre endroit.

Les bus Yutong sont conduits par des personnes ; ce ne sont pas des véhicules sans conducteur, comme certains taxis et navettes en Californie ou en Chine.

« À la suite de ces tests, Ruter passe de l’inquiétude à une connaissance concrète de la manière dont nous pouvons mettre en place des systèmes de sécurité qui nous protègent contre toute activité indésirable ou le piratage des systèmes de données des bus », a déclaré dans un communiqué le directeur général de Ruter, Bernt Reitan Jenssen.

Tous les types de véhicules de ce type sont exposés

Au Danemark, l’entreprise de transport Movia a indiqué qu’elle réexaminait ses évaluations des risques en matière de cybersécurité et d’espionnage visant les bus de lignes régulières, ainsi que les mesures possibles pour prévenir le piratage, les usages détournés des données et le risque de mise hors service des bus.

Movia a précisé que les autorités danoises n’avaient signalé aucun cas de bus désactivés, mais qu’elle cherchait des moyens d’éliminer les vulnérabilités.

Les nouvelles conclusions, a-t-elle ajouté, ont été présentées à la conférence InformNorden par des conseillers de l’Université du Sud-Est de la Norvège et montrent que ni un pirate ni le fournisseur ne peuvent prendre le contrôle du bus.

« Il est également important de souligner que les hauts conseillers norvégiens ont indiqué qu’il ne s’agit pas d’un problème propre aux bus chinois, mais d’un problème qui concerne tous les types de véhicules et d’appareils intégrant ce type d’électronique », a indiqué Movia dans un courriel.

Des règles de sécurité plus strictes

Les caméras des bus ne sont pas connectées à Internet, de sorte « qu’il n’y a aucun risque de transmission d’images ou de vidéos depuis les bus », a indiqué Ruter, qui compte plus de 100 bus Yutong dans sa flotte. Les bus ne peuvent pas être pilotés à distance, a-t-elle précisé.

Toutefois, Ruter a indiqué que le constructeur peut accéder, via le réseau mobile, au système de contrôle de la batterie et de l’alimentation électrique. Cela signifie qu’en théorie, les bus « peuvent être arrêtés ou rendus inutilisables par le constructeur ».

L’entreprise norvégienne a indiqué qu’elle réagissait en imposant des règles de sécurité plus strictes lors de futurs appels d’offres, en développant des pare-feux garantissant un contrôle local et empêchant le piratage, et en travaillant avec les autorités à des « exigences claires en matière de cybersécurité ».

Elle prend aussi des mesures pour retarder les signaux entrants, « afin que nous puissions analyser les mises à jour envoyées avant qu’elles n’atteignent le bus ».