Alors que la mobilité électrique explose en Europe, les cybercriminels ciblent désormais les bornes de recharge. À base de QR codes piégés ou d'attaques à distance, la menace s'intensifie pour les conducteurs.
Six millions de véhicules électriques circulent aujourd'hui dans l'Union européenne, alimentés par un réseau toujours plus dense de bornes connectées. Si la transition est en route, elle s'accompagne d'un effet pervers et du fameux adage qui dit que les pirates informatiques sont des opportunistes. Les bornes de recharge, désormais connectées à des applications et des systèmes de paiement en ligne, attirent plus que jamais l'attention des hackers. L'entreprise miio, spécialisée dans la recharge électrique, a décidé ce lundi de briser le silence sur ces nouvelles menaces et de livrer de précieuses recommandations.
Quand recharger sa voiture devient un risque de cybersécurité
Vous vous garez, branchez votre voiture, scannez le QR code affiché sur la borne... et tombez dans le piège. Cette arnaque par QR code, baptisée « quishing » par les experts cyber, prolifère actuellement sur les parkings français. Des escrocs collent leur propre QR code sur les équipements légitimes. Vous atterrissez alors sur une copie du site officiel de l'exploitant de la borne, qui aspire vos données bancaires.
Ce qui s'est passé il y a déjà plus d'un an et demi dans le Loiret montre tout le danger de cette « technique ». Plusieurs automobilistes y ont laissé des dizaines d'euros après avoir fait confiance à ces faux codes. Mais le problème va bien au-delà du simple phishing visuel. Les bornes elles-mêmes peuvent être détournées par des pirates capables de s'infiltrer à distance dans les systèmes mal protégés.
La démonstration a été faite lors du concours Pwn2Own Automotive 2024, où des hackers éthiques ont exploité les failles de ces équipements. Qu'il s'agisse de la facturation manipulée, de sessions interrompues brutalement, ou d'une exécution de code malveillant, les possibilités d'attaque sont nombreuses. Et ce n'est pas tout.
De vraies solutions à portée de main
Les opérateurs de recharge subissent, eux aussi, les assauts des cybercriminels, comme cette fuite de données détectée sur le dark web en novembre dernier. L'intrusion dans plusieurs réseaux européens avait provoqué la fuite de 116 000 enregistrements sensibles. Avec les noms d'utilisateurs, numéros de série des véhicules, historiques de localisation des bornes utilisées, c'est un trésor d'informations qui est tombé dans les mains des pirates. Et on sait que ces données peuvent alimenter des campagnes de phishing ultra-ciblées ou être revendues à d'autres groupes malveillants.
Heureusement, quelques réflexes simples permettent de se protéger efficacement. D'abord, oubliez les QR codes collés sur les bornes et passez exclusivement par l'application officielle de votre opérateur. Avant chaque paiement en ligne, prenez le temps de vérifier l'URL affichée dans votre navigateur. Une lettre en trop, un nom de domaine approximatif, et vous êtes probablement face à une tentative d'escroquerie.
L'autre point de méfiance sur lequel miio alerte, ce sont les réseaux Wi-Fi publics disponibles sur les aires d'autoroute ou dans les parkings de centres commerciaux. Ces connexions ouvertes permettent d'intercepter facilement vos échanges avec la borne. Privilégiez donc votre forfait mobile ou, mieux encore, activez un VPN.
