Ruter a trouvé des risques potentiels en matière de cybersécurité dans les bus de la marque chinoise Yutong, qui peuvent être accessibles à distance via une « passerelle » pour contrôler les systèmes de contrôle du véhicule, ainsi que des mises à jour à distance over-the-air. L’opérateur norvégien de transports publics a effectué des tests dans un environnement contrôlé avec deux bus, l’un neuf de Yutong et l’autre, âgé de trois ans, de VDL, à des fins de comparaison, ayant identifié des problèmes potentiels d’accès non autorisé aux systèmes opérationnels du véhicule, permettant de les désactiver à distance ou de faire face à d’autres problèmes opérationnels.
Dans un communiqué, Ruter indique que la sécurité des images n’est pas en jeu, mais “le fournisseur chinois a un accès numérique aux systèmes de contrôle pour les mises à jour et diagnostics ‘logiciels’. En théorie, cela pourrait être exploité pour affecter le bus. Il y a un accès au système de contrôle de la batterie et de l’alimentation via le réseau mobile, par le biais d’une carte SIM roumaine. Par conséquent, en théorie, ce bus pourrait être arrêté ou rendu inopérable par le fabricant. Il y a un faible degré d’intégration entre les systèmes du bus, et il n’y a qu’une seule sortie et accès à la fonctionnalité critique du bus. Cela facilite son isolement du contact avec le monde extérieur. Nous pouvons également retarder les signaux vers le bus, afin d’obtenir des informations sur les mises à jour envoyées avant qu’elles n’atteignent le bus. Ces mécanismes sont désormais en cours de mise en œuvre”, assure l’entreprise, qui développe déjà des solutions pour prévenir d’éventuelles situations à risque, en collaboration avec les autorités de sécurité. Elle confirme également qu’elle a l’intention de mettre en œuvre des exigences de sécurité plus élaborées pour les véhicules à utiliser, visant à agir avant l’arrivée de la prochaine génération de bus, afin que “cela devienne plus intégré et difficile à protéger.”
Cette affaire a attiré l’attention des autorités au Danemark, où 262 véhicules Yutong sont en service pour la société de transport Movia, qui, selon le journal britannique The Guardian, enquête maintenant sur des moyens d’éviter de tels risques de cybersécurité dans ses véhicules. Cependant, dans des déclarations citées par le journal britannique, le directeur des opérations de Movia, Jeppe Gaard, explique que le risque de désactivation des bus à distance lorsqu’ils sont connectés au réseau “n’est pas exclusif aux bus chinois. C’est un problème pour tous les types de véhicules et d’objets contenant des composants électroniques chinois”. Aucun problème de dysfonctionnement des bus en raison de cyberattaques n’a été signalé, mais il a été souligné par l’agence de protection civile et de gestion des urgences, Samsik, qu’il existe des sous-systèmes qui posent des vulnérabilités au bon fonctionnement souhaité des véhicules.
Pour sa part, Yutong assure que ses bus respectent scrupuleusement toutes les exigences de cybersécurité en vigueur en Europe, et que les données collectées sont préservées sur le continent, spécifiquement dans le centre de données Amazon Web Services (AWS) à Francfort, en Allemagne. Selon The Guardian, un porte-parole de Yutong a déclaré que les données collectées par les bus sont liées “uniquement dans le but de l’entretien des véhicules, de l’optimisation et des améliorations pour répondre aux besoins du service après-vente des clients”.
