Les bornes de recharge et les applications pour véhicules électriques sont souvent insuffisamment protégées contre les risques de sécurité. Les cyberattaques réussies contre de telles applications permettent des actions allant de la fraude au sabotage.
Avec une capitalisation boursière attendue de 457 milliards de dollars en 2023, le marché des véhicules électriques devrait presque doubler d'ici 2027 avec des ventes attendues de 16 millions de véhicules par an. Pour répondre au besoin croissant de bornes de recharge et offrir aux propriétaires de véhicules électriques une expérience fluide, le nombre d’applications pour les bornes de recharge pour véhicules électriques a augmenté de façon exponentielle. Il existe des applications d'utilisateur final pour localiser les bornes de recharge, des applications de paiement pour charger les batteries, des applications de point final qui aident les conducteurs à surveiller et à gérer leur consommation d'électricité, ainsi que des applications d'entreprise pour gérer les flottes de bornes de recharge et les réseaux de recharge dans les bâtiments commerciaux et résidentiels.
Une matrice d’appareils finaux et d’applications
Toutes ces applications interagissent généralement entre elles et avec des services et plateformes tiers via des API ou des plugins JavaScript. Ces applications traitent à la fois des données sensibles et personnelles du conducteur et des informations sur le véhicule. De plus, ils sont connectés à une infrastructure back-end sophistiquée qui gère la distribution efficace de l’énergie vers les chargeurs des points finaux.
Les applications de recharge sont vulnérables à de nombreux risques de cybersécurité. Ils attirent toute une série d’acteurs malveillants, notamment des groupes terroristes ou criminels, qui tentent d’endommager physiquement la borne de recharge et le véhicule. De plus, des pirates informatiques malveillants tentent de réaliser des gains mal acquis en volant de l'argent, de l'électricité ou des informations personnelles. Le problème est que les infrastructures de recharge sont très vulnérables aux violations de données, aux pertes financières et aux risques de sécurité. Et comme tout jeune marché, il manque encore une sensibilisation et une réglementation pour se protéger adéquatement.
Divers défis de sécurité
Les applications connectées aux bornes de recharge des points de terminaison sont vulnérables à divers types de cyberattaques, notamment les ATO (piratage de compte), les MITM (man-in-the-middle), les attaques de la chaîne d'approvisionnement, les abus d'API, les falsifications de requêtes côté client et côté serveur, XSS. (Scripts intersites).
« L'un des défis en matière de sécurité réside dans le fait que les applications exécutées sur les appareils des bornes de recharge ne sont pas mises à jour aussi souvent qu'elles le devraient », explique Uri Dorot, responsable principal des solutions de sécurité chez Radware. "En conséquence, de nombreuses versions obsolètes de Linux et JavaScript exécutent de nouvelles vulnérabilités qui n'ont pas été corrigées."
La technologie passe avant tout. La réglementation est à la traîne
Contrairement aux banques, aux services financiers et aux secteurs du voyage et du commerce électronique, où les régulateurs exigent la mise en œuvre de solutions de cybersécurité telles que : B. un WAF (Web Application Firewall), le secteur de la recharge en est encore à ses premières étapes réglementaires. « Actuellement, les réglementations et normes du secteur de la recharge – telles que ISO 15118 et SAE J3061 – précisent uniquement les mesures de sécurité que les entreprises de recharge doivent prendre en compte pour protéger leurs systèmes et les données de leurs clients contre les cyberattaques », a déclaré Dorot. « En d’autres termes, il n’y a aucune exigence ni aucune application pour garantir que des outils de cybersécurité spécifiques soient utilisés. »
Risques courants de cybersécurité pour les applications de recharge
Logiciels malveillants et virus : Les logiciels malveillants et les virus peuvent être introduits dans une application de recharge via des services tiers infectés au sein de la chaîne d'approvisionnement des bornes de recharge, des attaques de robots sophistiquées et des injections. Ils peuvent y accéder via un appareil d'utilisateur final compromis ou infecté, un ordinateur d'infodivertissement embarqué ou une seule station de recharge extérieure indépendante. Tout cela peut conduire à un accès non autorisé à l’infrastructure de recharge, au vol de données ou à la corruption d’applications.
Cryptage manquant : Sans un cryptage approprié des données transmises entre l’application de recharge et la borne de recharge, les données des utilisateurs peuvent être interceptées et compromises.
Authentification insuffisante : Des mécanismes d’authentification faibles peuvent permettre à des utilisateurs non autorisés d’accéder à l’application de recharge et à l’infrastructure de recharge. Cela peut entraîner une mauvaise utilisation, un vol de données ou des dommages à l'application.
Risques liés à la protection des données : Les applications de recharge collectent et stockent des données utilisateur sensibles, telles que des données de localisation et des informations personnelles, y compris des informations de carte de crédit. Le fait de ne pas sécuriser correctement ces données peut entraîner des violations de données, des vols d'identité et des fraudes.
Risques dans la chaîne d'approvisionnement : La chaîne d'approvisionnement pour les applications de recharge est complexe et implique plusieurs composants et fournisseurs. L’incapacité d’auditer et de sécuriser correctement ces composants et fournisseurs peut entraîner des vulnérabilités dans les applications et l’infrastructure.
Exemples de cyberattaques sur le chargement d'applications
Les applications de chargement sont plus vulnérables à certains types de cyberattaques que d’autres types d’applications. Ces attaques sont lancées en abusant des connexions API, en exploitant des vulnérabilités connues liées à l'application ou via des plateformes tierces. Dans certaines de ces attaques, les auteurs utilisent des robots sophistiqués ressemblant à des humains, capables de contourner les CAPTCHA, entre autres capacités.
Bornes de recharge piratées : Les bornes de recharge pour véhicules électriques peuvent être piratées ou compromises pour voler les données des utilisateurs ou endommager les véhicules. Cela peut être fait en modifiant le firmware ou en connectant physiquement un appareil à la station de recharge. Une fois qu’une borne de recharge frauduleuse est connectée au réseau, elle peut être utilisée pour d’autres attaques.
Fraude à la facturation : Les applications de facturation incluent généralement des processus de facturation et de paiement. Les acteurs malveillants exploitent les vulnérabilités du processus de facturation pour commettre des fraudes en lançant des robots pour créer de fausses sessions de recharge ou en surchargeant les utilisateurs sans méfiance.
Usurpation de localisation: L'usurpation d'emplacement consiste à tromper l'application de chargement pour faire croire à tort à l'utilisateur sans méfiance qu'il se trouve dans un endroit différent. Cela peut être utilisé pour éviter une tarification basée sur la localisation ou pour accéder à des bornes de recharge qui ne sont accessibles qu'à certains endroits.
Attaques par déni de service : Lors d'une attaque par déni de service (DoS), l'application de chargement est surchargée en raison du trafic sur le réseau sous-jacent. Cela entraînera que l’application devienne indisponible ou inutilisable. Les attaques DoS peuvent perturber l’infrastructure de recharge et/ou être utilisées pour extorquer de l’argent au fournisseur d’applications.
Attaques par injection : Une attaque par injection consiste à injecter des scripts malveillants dans les champs de saisie de l'utilisateur pour manipuler la base de données et accéder aux données sensibles. Le chargement d'applications qui utilisent des bases de données pour stocker des données utilisateur ou des informations de session est vulnérable aux attaques par injection.
Attaques de script intersite (XSS) : Les attaques XSS injectent des scripts malveillants dans les sites Web consultés par d'autres utilisateurs. Le chargement d'applications qui autorisent le contenu généré par l'utilisateur ou dont les champs de saisie ne sont pas correctement validés sont vulnérables aux attaques XSS.
Attaques CSRF (Cross-Site Request Forgery) : Les attaques CSRF incitent les utilisateurs à effectuer sans le savoir des actions au nom d'un attaquant. Il peut s'agir par exemple d'envoyer un formulaire ou de transférer de l'argent. Le chargement d'applications qui s'appuient sur des cookies ou des jetons de session pour authentifier les utilisateurs est vulnérable aux attaques CSRF.
Attaques SSRF (Server-Side Request Forgery) : Une attaque SSRF se produit lorsqu'un attaquant trompe le serveur d'applications en cours de chargement en envoyant une requête malveillante pour accéder à une ressource sur un autre serveur qui n'est pas destiné à être accessible au public. De cette manière, l'attaquant peut contourner l'authentification et obtenir un accès non autorisé à des informations sensibles ou contrôler la borne de recharge.
Plus de véhicules signifie aussi plus d’attaques
Pour protéger adéquatement les applications et les infrastructures de recharge, les développeurs d’applications de recharge peuvent prendre diverses contre-mesures. Cela inclut la validation et le nettoyage des entrées, l'application de la liste blanche des ressources approuvées et la limitation de la portée des demandes pouvant être faites par l'application. Les sociétés de recharge devraient également envisager de mettre en œuvre une gamme d’outils et de mesures de cybersécurité pour se protéger contre divers types de cyberattaques applicatives. Ces outils incluent des WAF, des gestionnaires de robots, des outils de protection API et DDoS, une protection côté client pour surveiller les chaînes d'approvisionnement des applications, des systèmes de détection et de prévention des intrusions, un cryptage et des contrôles d'accès. Les outils et mesures peuvent varier en fonction des besoins spécifiques et des risques de l'entreprise. Les sociétés de facturation doivent également prendre des mesures proactives et effectuer régulièrement des tests de sécurité et des évaluations de vulnérabilité pour identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées par des acteurs malveillants et malveillants.
Plus sur Radware.com
À propos de Radware Radware (NASDAQ : RDWR) est un leader mondial des solutions de fourniture d'applications et de cybersécurité pour les centres de données virtuels, cloud et définis par logiciel. Le portefeuille primé de l'entreprise sécurise l'infrastructure informatique et les applications critiques à l'échelle de l'entreprise et garantit leur disponibilité. Plus de 12.500 XNUMX clients entreprises et opérateurs dans le monde bénéficient des solutions Radware pour s'adapter rapidement aux évolutions du marché, maintenir la continuité des activités et maximiser la productivité à faible coût.