Haro sur les voitures électriques chinoises… acte II. La Maison Blanche a annoncé, lundi 23 septembre, son intention d’interdire la vente ou l’importation des véhicules connectés contenant "certains composants spécifiques" produits dans des pays comme la Chine ou la Russie. Mais les Russes n’en fabriquent quasiment pas.
C’est donc bien Pékin qui est dans le viseur du président américain Joe Biden. Cette fois-ci, son administration cite des considérations de sécurité nationale. En mai, Washington avait avancé un argument beaucoup plus économique pour justifier la multiplication par quatre des droits de douane sur les importations de voitures électriques chinoises.
Les voitures de Troie
Officiellement, il s'agissait alors de protéger l’emploi nord-américain face à une industrie automobile chinoise dopée aux subventions étatiques, d’après les autorités américaines.
Le nouveau chapitre de la croisade américaine contre les véhicules électriques "made in China" concerne aussi bien les voitures que les motos, les camions ou encore les cars. Si l'interdiction était validée par le Congrès, elle entrerait en vigueur en 2027 pour les logiciels – les programmes dans certains composants électroniques – et en 2030 pour les composants matériels.
Les États-Unis affirment craindre que ces véhicules deviennent les nouveaux chevaux de Troie des espions et saboteurs chinois. Un peu à la manière du groupe chinois de pirates informatiques Volt Typhoon, a précisé Jake Sullivan, le conseiller du président pour les questions de sécurité nationale lors d’une conférence de presse.
En février 2024, les services américains de renseignement avaient découvert une opération attribuée à ce groupe chinois, qui s’était infiltré dans certains réseaux informatiques d’infrastructures critiques – électricité, eau. Le risque, d’après les États-Unis, serait que ces "agents dormants" soient activés en cas de hausse des tensions sino-américaines pour saboter à distance ces infrastructures.
Les voitures connectées sont-elles les prochaines "bombes à retardement" pour cyberpirates à la solde de Pékin ? "Le risque de piratage des voitures connectées est identifié depuis une dizaine d’années", assure Jean-Christophe Vitu, vice-président ingénierie de solutions pour CyberArk, une société américaine de cybersécurité.
Différentes portes d'entrée
Et ce n’est pas qu’un danger théorique, même si les cas avérés ne relèvent pas forcément encore de l’espionnage international. "Il s’agit pour l’instant essentiellement de cas de piratage pour contourner les systèmes informatiques de sécurité du véhicule afin de le voler", note Jean-Christophe Vitu.
Ceci étant, "il y a déjà eu des démonstrations de prise en main à distance de véhicules connectés", souligne Sébastien Viou, directeur cybersécurité pour la société française Stormshield.
Concrètement, les voitures connectées offrent différentes portes d’entrée pour des pirates informatiques. Ce sont les "composants spécifiques" évoqués par le communiqué de la Maison Blanche. "Toute voiture connectée dispose, par exemple, d’un modem ou d'une carte SIM qui n’est pas fabriquée par le constructeur et permet de se connecter à un réseau pour transmettre des données sur les serveurs", explique Matthieu Dierick, expert en cybersécurité chez F5, une société américaine de sécurité informatique. Une vulnérabilité à ce niveau pourrait permettre à un pirate informatique d’intercepter les données transmises.
Un cyberespion "peut aussi agir au niveau du multiplexeur, qui est une sorte de tour de contrôle pour l’usage des interfaces électroniques et connectées du véhicule, comme le GPS ou la radio", ajoute Jean-Christophe Vitu.
"Le nombre de données personnelles collectées par ces véhicules et leurs constructeurs est gigantesque", résume le spécialiste de CyberArk. Y avoir accès peut permettre, entre autres, de connaître l’itinéraire précis emprunté par une personnalité en vue, de savoir qui est appelé depuis une voiture, si le conducteur utilise un kit main libre, etc.
Ces véhicules peuvent aussi être sabotés. Là encore, les démonstrations ont surtout été faites lors de conférences sur la cybersécurité notamment – il n’y a pas encore d’exemple connu en conditions réelles. "Une voiture connectée peut être sabotée pour la forcer à s’arrêter par exemple", détaille Sébastien Viou. D’autres cas de figure concernent "l’arrêt à distance du système de conduite assistée ou encore l'accélération du véhicule", énumère Jean-Christophe Vitu.
Question de souveraineté
Ce ne sont cependant pas des prouesses à la portée du premier bidouilleur informatique venu. "Si on vise un véhicule particulier, il peut être nécessaire de faire un travail préalable de renseignement pour déterminer quelle est la marque de tel ou tel composant [GPS, freins, boîtier de vitesse, etc., NDLR] qu’on veut pouvoir actionner ou arrêter à distance", explique Matthieu Dierick.
Le fait que les États-Unis pointent ce risque du doigt alors même qu’il n’y a encore que très peu de voitures connectées chinoises sur le territoire nord-américain peut surprendre. Mais "il n’est pas trop tôt pour s’y intéresser, car avec toutes les tensions géopolitiques actuelles, c’est une question de souveraineté numérique. Il faut avoir un contrôle complet des composants utilisés et une confiance dans les constructeurs, ce qui peut prendre du temps", estime Matthieu Dierick.
Si les États-Unis veulent vraiment expurger les voitures connectées vendues sur son sol de tout composant chinois à risque, il va falloir "mettre en place toute une chaîne de production uniquement avec des composants nord-américains ou européens", précise Matthieu Dierick. Ce n’est pas un hasard si le communiqué de la Maison Blanche indique que le but serait de parvenir à une interdiction pour 2030 pour les composants matériels à risque.
Cette obsession du composant "made in China" n’est, cependant, pas qu’une question de sécurité nationale, d’après les experts interrogés par France 24. Sinon le législateur américain ratisserait beaucoup plus large. En effet, "le risque de vulnérabilité face à une attaque à distance existe quelle que soit l’origine du composant", affirme Sébastien Viou. En effet, ce n’est pas parce qu’une pièce électronique de la voiture est fabriquée en Occident plutôt que par Huawei en Chine qu’un hacker chinois ou russe ne peut pas tenter de la pirater. "Vouloir contrôler la chaîne d’approvisionnement est surtout une manière de réduire le risque d’introduction d'une 'porte dérobée' dans la voiture connectée", précise cet expert.
Opportunisme économique et politique
Ensuite, comment être sûr qu’il n’y a plus aucun composant chinois à risque dans le véhicule ? Quid du sous-traitant qui assemble une partie d’une pièce détachée en Chine ? "Il est très difficile de s’en assurer", reconnaît Jean-Christophe Vitu.
Enfin, "la voiture connectée n’est peut-être pas la priorité absolue s’il s’agit seulement de fermer les portes numériques par lesquelles les espions chinois peuvent entrer. Il y a, par exemple, davantage de téléphones portables avec des composants chinois en circulation", assure Matthieu Dierick.
Difficile de ne pas penser que cette offensive n’est pas aussi une manière "de donner un avantage aux constructeurs américains de composants électroniques, après le 'Chips and Science Act' notamment", résume Sébastien Viou.
Les autorités chinoises ont d’ailleurs fermement condamné, mercredi, cette décision qui se résumerait à "de la concurrence déloyale, et une forme de protectionnisme", a assuré le ministère chinois du Commerce dans un communiqué.
Sans compter un certain opportunisme politique à un peu plus d’un mois de l’élection présidentielle américaine. S’en prendre au "grand méchant chinois" est un argument porteur aux États-Unis. Surtout qu’en annonçant une telle décision pour une interdiction qui n’entrerait pleinement en vigueur qu’en 2030 laisse aussi le temps aux éventuels pirates informatiques chinois de réfléchir à comment mieux monter à bord des voitures connectées vendues aux États-Unis.