Des risques "inhérents" aux véhicules connectés: de la Norvège à l’Australie, des bus électriques chinois contrôlables à distance inquiètent les autorités

Les bus chinois peuvent-ils être contrôlés à distance? C'est la question qui inquiète les autorités australiennes après la découverte d'une faille dans la sécurité de ces véhicules. Une question d'autant plus préoccupante que depuis 2023, l'Australie investit progressivement dans les bus publics électriques. Au total, le pays compte 133 bus urbains électriques et 12 autocars électriques, tous fabriqués par Yutong Bus, une entreprise basée à Zhengzhou (Chine).

Des enquêtes en cascade

Depuis la révélation de cette faille, l'autorité des transports publics de Canberra examine si ces bus représentent un risque pour la sécurité nationale. Plus précisément, des chercheurs craignent que ces bus soient équipés d'un dispositif d'arrêt d'urgence que le gouvernement chinois pourrait activer en cas de crise.

Tout a commencé en Europe avec une étude menée par Ruter, l’autorité des transports publics d’Oslo. En Norvège, des chercheurs ont testé deux bus électriques, un modèle européen et un Yutong, dans une mine désaffectée, coupée de tout signal. L'objectif? Analyser en profondeur leurs systèmes et leurs risques potentiels.

Dans leurs conclusions, publiées à l’automne dernier, les chercheurs expliquent que Yutong maintient une connexion à distance avec ses bus, notamment pour les mises à jour logicielles (OTA) et les diagnostics. En théorie, cette connexion pourrait permettre d’immobiliser un véhicule.

Ruter a donc alerté les autorités et recommandé un durcissement des exigences de sécurité pour les bus importés. Il faut dire que la marque Yutong est très présente sur le marché international et européen. En 2023, plus de 135 véhicules étaient en circulation en France, à Paris, Marseille ou encore Lyon. Plusieurs pays, dont la Norvège, le Danemark, le Royaume-Uni et maintenant l'Australie ont donc ouvert une enquête.

Des failles... mais pas de porte dérobée

Le rapport complet de Ruter, obtenu par Dark Reading, apporte toutefois un éclairage plus mesuré. Les chercheurs ont identifié de vraies failles de cybersécurité, notamment concernant l’accès à distance par le constructeur grâce à la technologie CAN (Controller Area Network). Ce système, qui gère le véhicule, ne repose ni sur un chiffrement ni sur l’authentification. De quoi rendre la flotte vulnérable à des attaques paralysantes de la part de pirates informatiques.

La gestion de l’alimentation et des batteries est également accessible via une connexion au réseau mobile, ce qui pourrait théoriquement servir de coupe-circuit. Certaines vulnérabilités logicielles ont aussi été observées dans la plateforme de mise à jour logicielle de Yutong. Ces dernières ont depuis été corrigées.

Selon les chercheurs, les bus pourraient bel et bien, être, en théorie, vulnérables à des attaques paralysantes de la part de pirates informatiques. Mais ils n'ont relevé aucune porte dérobée, aucun composant ni aucune capacité de collecte de données conçus spécifiquement à cet effet et pouvant être considérés comme expressément malveillants ou particulièrement risqués.

"Les résultats sont meilleurs que prévu", reconnaissent même les représentants de Ruter, dans un entretien par mail avec Dark Reading. Les risques identifiés sont comparables à ceux de nombreux objets connectés modernes.

"Les risques les plus importants que nous avons identifiés sont liés à la connectivité numérique pour les mises à jour logicielles et les diagnostics sur le nouveau modèle de bus, plus connecté, et non à sa nature électrique ni à une quelconque capacité de surveillance cachée", assurent-t-ils.

Des risques "inhérents aux véhicules connectés"

Côté australien, Vehicle Dealers International (VDI), le distributeur exclusif du pays, assure que, bien que les véhicules Yutong autorisent les mises à jour à distance, ces dernières sont réalisées physiquement dans des centres agréés. "En Australie, et plus particulièrement à Canberra et dans le Territoire de la capitale australienne, les mises à jour sont effectuées par un mécanicien dans l'atelier", insiste un porte-parole auprès d'ABC. Transport Canberra assure de son côté que les bus en circulation ne permettent aucune mise à jour OTA.

De son côté, un porte-parole de Yutong a indiqué à ABC qu'il était possible de désactiver entièrement les fonctions télématiques en "coupant l'alimentation de l'appareil connecté ou en retirant la carte SIM". Cela n'impacte pas le fonctionnement du véhicule.

Pour Casey Ellis, fondateur de Bugcrowd, plateforme de cybersécurité participative, l’enjeu dépasse largement le cas Yutong.

"Les préoccupations exprimées dans le rapport reflètent des risques bien documentés inhérents aux véhicules connectés et à l'internet des objets (IoT) en général", alerte-t-il.

Selon lui, les menaces qui pèsent sur ces bus relèvent surtout de l'exfiltration de données, de la surveillance ou des rançongiciels. "Les prises de contrôle à distance spectaculaires ou les attaques physiques sont beaucoup moins probables", complète-t-il.

Des technologies chinoises qui inquiètent

Reste que les liens de l'entreprise avec la Chine inquiètent. En effet, une loi chinoise de 2017 sur le renseignement impose à tous les citoyens chinois, sans tenir compte des frontières géographiques, de participer au renseignement et de coopérer avec le Parti communiste chinois, lorsque cela leur est demandé.

Pour Casey Ellis, cette loi justifie à elle seule une évaluation renforcée des technologies connectées venues de Chine, qu'il s’agisse de bus, de panneaux solaires ou d’équipements télécoms. "Les transports publics, les systèmes d'énergies renouvelables et les opérations liées à la défense intègrent tous des composants fabriqués en Chine", rappelle l'expert.

Pas question pour autant de bannir ces technologies. Pour Casey Ellis, les coûts économiques et industriels seraient trop élevés. "Personnellement, je pense qu'un retrait massif des équipements, comme cela a été le cas dans certains pays européens, reste improbable compte tenu des coûts et des efforts que cela impliquerait, mais la prudence et le maintien de la souveraineté sont des principes essentiels", détaille-t-il. La solution passerait plutôt par un renforcement des contrôles, des accès à distance et surtout, par le renforcement des exigences de cybersécurité pour les futures commandes publiques.

Ce n'est d'ailleurs pas la première fois que ces bus inquiètent les autorités locales. En 2025, une enquête avait été ouverte concernant les batteries des véhicules, possiblment fabriquées par des esclaves ouïghours.