Au cours des cinq dernières années, les voitures électriques ont subi une incroyable transformation ; les voitures qui semblaient initialement futuristes et peu pratiques sont maintenant très populaires. Après une baisse significative des prix, le nombre de voitures électriques vendues est passé à environ 2 millions au début de 2017. L'infrastructure pour les voitures électriques se développe incroyablement vite, de sorte que les bornes de recharge dans les parkings publics n'attirent plus les regards étonnés.
Mais comme c'est souvent le cas avec une opportunité économique qui se développe rapidement, les fabricants se précipitent dans la concurrence sans hésiter et essaient d'obtenir la plus grosse part du gâteau. Mais ils ne pensent pas vraiment à ce qui se passe ensuite. Bien sûr, nous parlons de la cybersécurité. Les applications existantes du concept de base - payer et recharger - ne se soucient pas du caractère sacré de vos données personnelles ou de votre argent. Mathias Dalheimer a abordé ce sujet lors du 34e Congrès sur la communication du chaos dans sa présentation sur les faiblesses de l'infrastructure des voitures électriques.
Comment recharger les voitures électriques
Le nombre de voitures électriques augmente, tout comme le nombre de stations de recharge où les fournisseurs peuvent obtenir de l'argent pour la fourniture d'énergie. Pour ces transactions, ils ont besoin d'un système de facturation intégré. Avant de pouvoir commencer à charger votre voiture, vous devrez vous identifier à l'aide de votre jeton d'identification, qui est une carte spéciale de communication en champ proche (NFC) liée à votre compte.
La
recharge de la mobilité électrique s'effectue normalement via le protocole Open-Charge-Point, qui régule la communication entre le système de gestion de la recharge d'une part et le point de recharge électrique d'autre part. La station de recharge envoie une demande qui vous identifie au système de facturation ; le système de gestion de la facturation approuve la demande et informe le point de recharge en conséquence. Vous pouvez alors commencer à recharger à la station. La quantité d'électricité est ensuite calculée et renvoyée au système de gestion de la facturation afin que vous puissiez être facturé pour le service à la fin du mois.
Rien de surprenant ou de vraiment nouveau, n'est-ce pas ? Voyons de plus près où commencent les problèmes.
Des problèmes partout où vous regardez
Dalheimer a examiné les différentes composantes du système et a constaté qu'elles présentaient toutes des problèmes de sécurité. Le premier élément est le jeton d'identification. Ils sont fournis par des tiers et - surprise ! - La plupart d'entre eux ne sauvegardent pas vos données. Il s'agit de cartes NFC très simples qui ne cryptent pas votre identité ou quoi que ce soit d'autre. Et il y a d'autres problèmes avec les cartes. Tout d'abord, ils sont assez faciles à programmer, ce que Mathias a démontré en faisant une copie de sa propre carte et en réussissant à charger sa voiture avec la carte copiée. Il serait facile pour une personne expérimentée de programmer un tas de cartes dans l'espoir de trouver un numéro de compte professionnel. (Mathias n'a cependant pas essayé pour des raisons éthiques).
Étant donné que les prestataires de ces services de chargement facturent leurs services une fois par mois, les criminels pourraient utiliser le compte d'un propriétaire de voiture sans le savoir jusqu'à la fin du mois.
Cette approche suscite d'autres préoccupations : La plupart des stations utilisent la version 2012 du protocole OCPP, qui est déjà relativement ancienne et basée sur HTTP. (Nous savons tous que le protocole HTTP n'utilise pas de cryptage pour les transactions) Mathias a montré combien il est facile d'exécuter une attaque de type "man-in-the-middle" en faisant suivre la transaction.
En outre, les deux stations sur lesquelles Mathias a enquêté disposaient de ports USB. Il suffit de brancher une clé USB vide ici - et les journaux et les données de configuration sont copiés sur cette clé. Avec ces données, il est très facile d'obtenir les identifiants et le mot de passe du serveur de l'OCPP et, en plus, les numéros de jeton des utilisateurs précédents.
Pire encore, si les données sur le disque sont modifiées et que la clé USB est ensuite reconnectée au point de charge, le point de charge se met automatiquement à jour avec les nouvelles données. Et cela donne aux hackers beaucoup de nouvelles possibilités.
En résumé, des criminels : Collecter des numéros de cartes d'identité, les falsifier et les utiliser pour des transactions (pour lesquelles, bien sûr, les vrais titulaires de compte doivent payer) ; recâbler les demandes de chargement, ce qui revient essentiellement à désactiver le point de
chargement ; obtenir un accès root à la station et faire ensuite ce qu'ils veulent. Et tout cela parce que les fournisseurs ne se soucient pas de la sécurité.