Les autorités danoises étudient comment combler une faille de sécurité dans des centaines de bus électriques fabriqués en Chine, qui peuvent être désactivés à distance.
Les responsables des transports ont découvert que Yutong, le constructeur chinois, avait accès à distance aux systèmes de contrôle des bus pour les mises à jour logicielles et les diagnostics. Les autorités norvégiennes ont averti que cet accès pourrait être exploité pendant que les bus sont en service.
Préoccupée par les risques de sécurité, l’autorité norvégienne des transports publics, Ruter, a testé deux bus électriques de manière isolée.
Bernt Reitan Jenssen, directeur général de Ruter, a déclaré : « Les tests ont révélé des risques contre lesquels nous prenons désormais des mesures. Les autorités nationales et locales ont été informées et doivent apporter leur aide en prenant des mesures supplémentaires au niveau national. »
Les enquêteurs ont découvert que le retrait des cartes SIM des bus pourrait empêcher l’accès à distance, mais cela déconnecterait également les véhicules des autres systèmes. Ruter a déclaré que cela renforcerait les normes de sécurité pour les futurs achats. Jenssen a ajouté que l’entreprise doit agir avant d’introduire de nouveaux modèles de bus qui pourraient être « plus intégrés et plus difficiles à sécuriser ».
Au Danemark, Movia, la plus grande entreprise de transports publics du pays, exploite 469 bus électriques chinois, dont 262 fabriqués par Yutong.
Le directeur de l’exploitation de Movia, Jeppe Gaard, a déclaré avoir appris la semaine dernière que « les bus électriques, comme les voitures électriques, peuvent être désactivés à distance si leurs systèmes logiciels ont accès au Web ». Il a ajouté : « Ce n’est pas un problème de bus chinois. C’est un problème pour tous les types de véhicules et d’appareils équipés d’électronique chinoise intégrée. »
Selon Gaard, l’agence danoise de protection civile et de gestion des situations d’urgence a déclaré qu’elle n’avait constaté aucun cas de désactivation de bus. Cependant, il a averti que les systèmes connectés à Internet des véhicules, notamment les caméras, les microphones et le GPS, pourraient créer des vulnérabilités qui pourraient être exploitées.
Yutong a déclaré qu’elle « se conforme strictement aux lois, réglementations et normes industrielles applicables dans les endroits où ses véhicules circulent ». La société a déclaré que les données de ses bus basés dans l’UE sont stockées dans un centre de données Amazon Web Services (AWS) à Francfort.
Un porte-parole de Yutong a déclaré : « Ces données sont utilisées uniquement pour la maintenance, l’optimisation et l’amélioration liées aux véhicules afin de répondre aux besoins de service après-vente des clients. Les données sont protégées par des mesures de cryptage de stockage et de contrôle d’accès. Personne n’est autorisé à accéder ou à visualiser ces données sans l’autorisation du client. Yutong se conforme strictement aux lois et réglementations de l’UE en matière de protection des données. »
Thomas Rohden, président de la Société danoise de critique chinoise et conseiller régional du parti social-libéral, a déclaré que le Danemark avait été « beaucoup trop lent » à réduire sa dépendance à l’égard des entreprises chinoises.
« C’est un énorme problème. Nous ne devrions pas être aussi dépendants d’un pays qui a des valeurs et des idéaux si différents de ceux du Danemark », a déclaré Rohden. Il a ajouté que, alors que le Danemark s’efforce de renforcer sa résilience face aux inquiétudes suscitées par les attaques hybrides de la Russie, « il n’est pas très résilient d’être totalement dépendant de la Chine ».
Le ministère norvégien des Transports a refusé de commenter.
(The Guardian Royaume-Uni)
