L’Europe vient de découvrir une nouvelle menace potentielle chinoise : les bus électriques. Trois pays européens ont, depuis un peu plus d’une semaine, tiré la sonnette d’alarme concernant la possibilité pour le géant chinois des bus Yutong d’immobiliser à distance leurs véhicules électriques utilisés dans les transports en commun de métropoles européennes comme Glasgow, Oslo ou encore Paris. Voire pour un acteur extérieur de pirater le système et d’arrêter ces véhicules.

Le Centre national de cybersécurité britannique a lancé une vaste inspection des centaines de bus électriques qui circulent sur les routes de l’archipel de Nottingham à Glasgow, a affirmé le Financial Times, dimanche 9 novembre. 

Les autorités britanniques veulent savoir si le numéro 1 mondial des bus peut "arrêter ou mettre hors service" ses véhicules à distance.

L'alerte venu du froid

Ce nouveau chapitre de la crainte européenne des conséquences de la dépendance technologique à la Chine a été ouvert par la Norvège le 30 octobre. Ruter, un opérateur de transports publics à Oslo, a soumis deux bus électriques à des tests - un ancien modèle norvégien et un bus flambant neuf du chinois Yutong - sur les risques cyber associés au fait que ces véhicules peuvent être connectés à Internet en permanence.

Résultat : dans le cas des bus chinois, les experts mandatés par Ruter ont découvert que Yutong "avait accès [à distance] au système de contrôle de la batterie et de l’alimentation électrique du bus via le réseau mobile, au moyen d’une carte SIM". C’est suffisant, jugent les Norvégiens, pour permettre au géant chinois d’avoir un bouton on/off dématérialisé pour ces bus.

À la suite de ces révélations, le Danemark a annoncé, mardi 4 novembre, avoir entrepris "en urgence" de rechercher un moyen de contourner cette "faille de sécurité" pour les 265 bus électriques fabriqués par Yutong utilisés par les services danois de transports publics.

Le "risque" identifié ne se limite pas aux trois pays qui ont réagi jusqu’à présent. Sur son site internet, Yutong se vante d’avoir fourni plus de 700 bus électriques à 25 pays européens, dont l’Italie, l’Espagne ou encore la France. Dans l'Hexagone, Yutong affirme que 132 bus électriques circulent à Paris, Strasbourg, Lyon, Toulouse et Marseille. Contacté par France 24, le ministère français des Transports a affirmé ne pas avoir effectué de test sur les bus Yutong "à ce jour". 

Le dispositif en cause n’a, en soi, rien d’exceptionnel. Les bus Yutong "font ce que beaucoup d’autres véhicules et équipements font, c’est-à-dire, qu’ils disposent d’une connectivité internet permettant aux fabricants de mettre à jour les logiciels et de surveiller en temps réel qu’il n’y a pas de dysfonctionnement", résume Tim Stevens, spécialiste des enjeux de cybersécurité dans les relations internationales au King’s College de Londres.

Plus précisément, les bus Yutong disposent d’une carte SIM roumaine située dans un boîtier qui, à l’instar d’un smartphone, sert d’interface de communication entre le véhicule et le fabricant.

Pas si différent de Tesla

C’est ce système permettant des mises à jour "en temps réel" des systèmes électroniques à bord du bus qui a pu être présenté comme une "porte dérobée" pour la Chine dans les médias. 

Rien n’oblige, en effet, Yutong à équiper ces bus de ce système de communication en temps réel. Les mises à jour pourraient, par exemple, "être faites au garage avec une simple clé USB et uniquement quand c’est nécessaire", souligne Émeric Boît, responsable de l’équipe d’intelligence sur les menaces cyber pour le spécialiste français de la sécurité informatique HarfangLab. De quoi réduire à néant le danger de stopper à distance un bus… qui est déjà à l’arrêt au garage.

Cependant Yutong est loin d’être le seul à proposer ce suivi en temps réel. "Toutes les voitures électriques individuelles vendues disposent de ce genre de boîtier avec une carte SIM, à commencer par Tesla", confirme Benoit Grunemwald, expert en cybersécurité pour la société Eset. La marque américaine fondée par Elon Musk "avait unilatéralement augmenté à distance l’autonomie des batteries de ses voitures pour permettre aux conducteurs de fuir à l’occasion du passage de l’ouragan Irma", souligne Émeric Boît.

"Cette affaire illustre très bien les tensions entre exigence d’efficacité et performances d’un côté et souci de sécurité de l’autre pour les constructeurs de véhicules et objets connectés", estime Gérome Billois, expert en cybersécurité pour le cabinet de conseil Wavestone. Pour cet expert, la possibilité de mettre les systèmes à jour "en temps réel" vient en partie du fait que cela "réduit le temps de maintenance nécessaire". Les bus peuvent ainsi rouler plus longtemps sans avoir à passer par la case garage.

Un choix qui ne pose aucun - ou moins de - problème lorsqu’il s’agit de Tesla ou d’un autre constructeur occidental de voitures. "Le vrai problème ici est que Yutong est chinois et qu’il existe cette perception, fondée ou non, que toute entreprise va se plier aux exigences du gouvernement si ce dernier lui demande d’arrêter à distance une flotte de bus en Europe", assure Tim Stevens. 

Pirates pro-russes en embuscade ?

Yutong s’est défendu d’être capable de stopper ses bus à distance. Impossible de savoir si c’est vrai ou non. "C’est une pratique standard avec les sociétés chinoises en matière de cybersécurité : elles vont systématiquement nier qu’il pourrait exister un problème", assure Tim Stevens. 

C’est d’ailleurs l’une des raisons pour lesquelles il vaut mieux prévenir que guérir avec le matériel chinois, d’après cet expert. "Il est difficile de coopérer avec un acteur pour trouver une solution à un problème si ce dernier en nie l’existence", affirme Tim Stevens. 

Tous les experts interrogés par France 24 estiment que "la Chine n’aurait pas d’intérêt commercial à couper le contact à distance à ces bus. Ce serait un coup très dur pour la réputation de Yutong en Europe", résume Émeric Boît.

Ils sont cependant moins optimistes pour un avenir à plus long terme… si les relations sino-européennes venaient à s’envenimer. "Le problème est que l’affaire des bus vient s’ajouter à d’autres infrastructures ou services publics qui dépendent de matériels chinois [routeurs Huawei, câbles sous-marins chinois, NDLR]. Les autorités européennes sont en train de se rendre compte qu’en cas de conflit, cette dépendance technologique offre toujours plus de moyens d’actions à la Chine pour handicaper l’Europe", estime Gérôme Billois.

"On ne sait pas non plus à quel point ces boîtiers et cartes SIM sont sécurisés", prévient cet expert. Autrement dit : la menace ne vient pas forcément que de la Chine. "Un autre acteur étatique ou non pourrait en profiter pour pirater ces bus", souligne Benoit Grunemwald.

Paralyser une partie des transports publics "pourrait tout à fait correspondre à des objectifs de guerre hybride russe, par exemple", souligne Tim Stevens.

C’est un risque d’autant plus grand qu’il n’existe pas de solution miracle. "Le meilleur moyen de ne pas être à la merci d’intervention extérieure, c’est de désactiver cette carte SIM. Encore faut-il savoir si le constructeur accepterait cette solution et si les bus continueraient à fonctionner correctement sans", conclut Benoit Grunemwald.