Avec l'essor des véhicules électriques en France (1,3 million de véhicules 100% électriques en circulation fin 2024) un nouveau terrain de jeu s'ouvre pour les cybercriminels. Les bornes de recharge deviennent des cibles privilégiées pour diverses formes d'attaques.
Selon le rapport Automotive & Smart Mobility Global Cybersecurity Report 2025 d'Upstream, l'année 2024 a connu une forte augmentation des cyberattaques avec un risque particulier concernant les véhicules électriques pendant leur recharge.
Les principales menaces à la sécurité lors de la recharge
La fraude au QR code falsifié
L'une des techniques les plus répandues consiste à apposer de faux QR codes sur les bornes de recharge publiques. En les scannant, les utilisateurs sont redirigés vers des portails de paiement frauduleux, et se font soutirer de l'argent ou des données bancaires. Cette méthode, est également connue sous le nom de "quishing". Pour les utilisateurs, la manipulation n'est souvent détectée que lorsqu'ils constatent que leur véhicule ne se recharge pas.
Les cyberattaques contre les opérateurs de réseaux
Les groupes criminels ne se contentent pas de cibler les bornes individuelles, mais s'attaquent également aux opérateurs de réseaux de recharge. Ils utilisent des méthodes classiques comme le phishing, les malwares ou l'exploitation de vulnérabilités logicielles. En novembre 2024, un pirate a publié 116 000 enregistrements de données sensibles volées grâce à une faille dans plusieurs stations à travers le monde, exposant des informations telles que les noms des clients ou les numéros de série des véhicules. Ces attaques permettent aux cybercriminels d'accéder à des jeux de données sensibles, incluant aussi les informations bancaires des utilisateurs.
La reprogrammation malveillante des bornes
La vulnérabilité physique des bornes de recharge les expose particulièrement au vandalisme, tant matériel que logiciel. Les pirates peuvent reprogrammer les bornes pour détourner des informations, offrant un moyen efficace de recueillir et d'utiliser les données sensibles des utilisateurs . Une borne infectée peut aussi servir de point d'entrée pour étendre l'attaque à l'ensemble du réseau et potentiellement compromettre les véhicules branchés en injectant des malwares ou surcharger le système en créant une fausse demande. Dans les scénarios les plus dramatiques, cela pourrait aller jusqu'à la déstabilisation des réseaux électriques locaux provoquant des perturbations généralisées.
Le "mouse jacking" et autres attaques directes
Le moment de la recharge représente une période de vulnérabilité accrue pour les véhicules électriques à cause du stationnement prolongé. Le "mouse jacking" est l'une de ces méthodes. Cela permet de pirater la clé d'une voiture ou directement son système électronique. Cette technique peut théoriquement permettre aux pirates de prendre le contrôle du véhicule via la borne de recharge, ou de modifier les paramètres du véhicule en exploitant les failles des bornes.
Les solutions de sécurité développées par Virta
Face à ces menaces, Virta a développé une approche 360° pour la gestion de la sécurité. L'entreprise a mis en place un système de gestion de la sécurité de l'information (ISMS) dirigé par une équipe dédiée. Cette démarche s'inscrit dans un processus continu, avec un système de gestion des risques permettant de rester en phase avec l'évolution des menaces. Tous les risques identifiés sont attribués à un propriétaire et traités de manière appropriée.
Des certifications internationales reconnues
Pour garantir le plus haut niveau de sécurité, Virta a obtenu plusieurs certifications internationales prestigieuses. L'entreprise est certifiée ISO 27001, une norme de sécurité de l'information internationalement reconnue qui garantit que des contrôles de sécurité stricts sont en place pour protéger les données des clients . De plus, Virta a obtenu la certification Service Organizations Controls (SOC) 2 Type 2 pour la sécurité et la disponibilité (norme d'audit développée par l'American Institute of Certified Public Accountants (AICPA)).
Sécurisation des services en ligne et des interfaces
Le système backend de Virta est développé conformément à des directives internes strictes en matière de sécurité. Pour le développement d'applications, l'entreprise utilise l'OWASP ASVS (Application Security Verification Standard) comme référence et dispense une formation au développement sécurisé à ses développeurs. Toutes les modifications sont examinées avant d'être déployées et testées dans un environnement d'essai avant la mise en production, avec une traçabilité complète des changements.
Virta effectue régulièrement des analyses de vulnérabilité, des évaluations de sécurité et des tests de pénétration. Tous les problèmes détectés sont analysés, et les correctifs et mesures d'atténuation appropriés sont rapidement déployés.
Protection des données et protocoles sécurisés
Virta utilise des protocoles de communication sécurisés sur l'ensemble de la chaîne de données. Pour contrer la menace des faux QR codes, l'entreprise met en place des QR codes uniques sur les bornes équipées d'écrans. Pour les bornes plus anciennes, la connexion est sécurisée via l'application mobile. La sécurisation des équipements est constamment adaptée par les fabricants et par Virta, via des évolutions de protocoles de communication O.C.P.P (Open Charge Point Protocol) et de réglementations.
Les données des clients et des utilisateurs sont stockées exclusivement dans l'Union Européenne ou sur le continent européen, sur le Cloud Amazon AWS. L'accès à ces ressources est strictement limité au personnel spécifique, avec des droits d'accès accordés uniquement sur la base de besoins professionnels validés et révisés chaque année. Virta ne recueille que les informations personnelles identifiables nécessaires à la fourniture des services, et ces données sont stockées uniquement pour la durée nécessaire.
Infrastructure moderne et paiements sécurisés
Les systèmes informatiques ne dépendent pas d'un seul centre de données, ce qui renforce leur résilience. Un pipeline de déploiement automatisé permet à l'environnement de production de fonctionner en permanence avec les derniers correctifs de sécurité installés, et toute déviation est surveillée à l'aide de scans de vulnérabilité continus.
Pour les paiements, Virta a pris des mesures particulières pour protéger les données sensibles des utilisateurs. Les données relatives aux cartes bancaires (carte de crédit/débit) sont traitées et stockées par son partenaire Payment Highway, certifié PCI-DSS (Payment Card Industry Data Security Standard), garantissant ainsi le plus haut niveau de sécurité pour les transactions financières.
La sécurité des bornes de recharge pour véhicules électriques représente un défi majeur à l'heure où les cyberattaques se multiplient et se sophistiquent. Les risques sont variés, allant du vol de données personnelles à des scénarios plus inquiétants comme la prise de contrôle des véhicules ou la déstabilisation des réseaux électriques. Face à ces menaces, Virta a développé une approche globale et proactive de la sécurité, s'appuyant sur des certifications internationales, des protocoles sécurisés, une infrastructure moderne et des tests réguliers.
Véhicules électriques : comment protéger les données des automobilistes ?
L'OCPP 2.0.1 : avantages pour l'écosystème de véhicules électriques
Paiements et facturation: comment Virta simplifie les transactions
