À l’heure où les véhicules électriques sont présentés comme les grands alliés de la durabilité urbaine, une récente découverte en Norvège a tiré la sonnette d’alarme sur un aspect dont on ne prend généralement pas en compte : la cybersécurité des véhicules connectés.
Et l'entreprise publique Ruter, responsable des transports dans la zone métropolitaine d'Oslo, a réalisé l'été dernier une série de tests techniques sur ses propres bus électriques « fabriqués en Chine ». Les résultats se sont avérés peu rassurants : les véhicules pouvaient être contrôlés à distance par le constructeur.
Cette découverte a amené l’entreprise à alerter le gouvernement norvégien et à rouvrir un débat qui transcende la mobilité : dans quelle mesure la dépendance technologique vis-à-vis d’autres pays peut-elle devenir un risque pour la sécurité nationale ?
C'est ainsi que cela est apparu
Dans le plus grand secret, Ruter a transféré deux de ses bus électriques dans un laboratoire de Sandvika, où ils ont été démontés et analysés dans un environnement contrôlé, isolé des signaux externes. L'un des véhicules provenait d'un constructeur européen ; l'autre, du géant chinois Yutong, l'un des plus grands producteurs mondiaux de bus électriques.
La comparaison entre les deux modèles était révélatrice. Selon le rapport interne de Ruter, les bus Yutong maintenaient un canal de communication actif avec le constructeur, ce qui permettait :
- Mises à jour logicielles à distance
- Opérations de diagnostic
- Gestion des batteries et du système d'alimentation
En théorie, cette connexion permettrait au producteur d'arrêter le véhicule ou de le désactiver complètement, sans intervention de l'opérateur local. Bien qu'aucune preuve d'utilisation abusive n'ait été détectée, le simple fait qu'une telle possibilité existe a été considéré comme un risque sérieux.
De l’expérimentation technique à une affaire d’État
Après avoir confirmé les résultats, Ruter a informé le ministère des Transports et a commencé à travailler avec les autorités nationales et locales sur un nouveau cadre d'exigences en matière de cybersécurité pour les futures acquisitions. Le PDG de l'entreprise, Bernt Reitan Jenssen, a reconnu publiquement que le niveau de sophistication technologique des systèmes connectés dépasse la capacité de gestion d'une entreprise de transport régionale :
« C'est à un niveau tellement avancé que ni les administrations locales ni Ruter ne peuvent y faire face seuls. Nous avons besoin d'une coopération avec les autorités compétentes en matière de cybersécurité, tant nationales qu'internationales. »
Le ministre des Transports Jon-Ivar Nygård lui-même a soutenu la décision et a annoncé une évaluation plus approfondie des risques concernant l'utilisation de véhicules en provenance de pays avec lesquels la Norvège n'a pas de coopération en matière de sécurité. Le gouvernement exige déjà des évaluations des risques dans les processus de passation des marchés publics, mais cette affaire a mis en évidence la nécessité de les mettre à jour face aux nouveaux défis numériques.
Technologie verte, dépendance étrangère
La Norvège a été l'un des pays les plus ambitieux en matière de transition vers les transports électriques, visant à éliminer les moteurs à combustion dans les transports publics d'ici 2030. Cependant, la chaîne d'approvisionnement de cette révolution verte dépend en grande partie des fabricants chinois, qui dominent le marché des batteries, des composants électroniques et des bus électriques.
Ruter dispose actuellement de plus de 300 bus électriques d'origine chinoise en service à Oslo et dans ses environs, et 140 autres véhicules Yutong seront lancés en 2024 dans le seul comté de Vestland.
Cela signifie qu’une partie substantielle des transports publics norvégiens – essentiels à la mobilité quotidienne et aux plans d’évacuation en cas de crise – dépend d’une technologie contrôlée depuis l’étranger.
« Oslo » prévenu
La découverte de Ruter a donné du poids aux avertissements lancés depuis des années par certains spécialistes de la sécurité. Le chercheur Ståle Ulriksen, de l'Académie navale de Bergen, avait déjà souligné que l'importation massive de véhicules électriques chinois pourrait être une « porte dérobée » technologique vers des infrastructures critiques.
« Je ne comprends pas pourquoi les hommes politiques ignorent les avertissements répétés des autorités chargées de la sécurité. »
Le souci n’est pas que les constructeurs étrangers sabotent actuellement le système, mais qu’ils ont la capacité technique de le faire, ce qui change complètement le paradigme du risque.
Des solutions possibles ?
Ruter a déjà commencé à mettre en œuvre des mesures préventives. L'une des plus simples et des plus efficaces consiste à retirer les cartes SIM qui permettent aux bus de se connecter à Internet, ce qui coupe la communication avec les serveurs du constructeur. Cela garantit que le contrôle du système reste exclusivement entre les mains locales en cas d'urgence.
Par ailleurs, l'entreprise revoit ses protocoles de mise à jour et de supervision, renforce le contrôle physique et numérique des véhicules et exige plus de transparence et de normes de cybersécurité dans les futurs contrats avec les fournisseurs.
« Je fais toujours confiance au bus »
Malgré la polémique, Jenssen a tenu à rassurer le public :
« Il est très peu probable que les prestataires arrêtent les bus. Personne n'y gagne rien. Mais nous devons prendre cela très au sérieux. Chaque jour, ils seront plus en sécurité (…) Je vais prendre le bus pour rentrer chez moi. »
Par | NRK
