Yutong, le plus grand constructeur chinois d'autobus, basé à Zhengzhou, qui a fourni des autobus électriques à la Norvège, au Danemark et aux Pays-Bas, a intégré un ‘ coupe-circuit ’ télécommandé dans ses véhicules.

Ce mécanisme permet au constructeur d'accéder numériquement aux systèmes pour effectuer des mises à jour logicielles et des diagnostics. Cependant, en théorie, il est également possible de désactiver ou d'influencer à distance le bus électronique ou l'autocar via un accès numérique.

Jusqu'à présent, aucun élément ne permet de conclure à une telle coupure, mais les autorités avertissent, du point de vue de la cybersécurité, qu'il est urgent de mettre en place des exigences de sécurité plus strictes.

Théorie contre pratique

Huawei, TikTok ou les caméras de surveillance Hikvision – une autre entreprise chinoise ? Au sein de l'UE, qui aspire à l'autonomie stratégique, le débat sur la sécurité numérique et la souveraineté nationale s'intensifie dans un contexte de dépendance technologique vis-à-vis de la Chine. L'affaire des bus Yutong s'inscrit également dans ce contexte.

Fin octobre, l'opérateur de transports publics norvégien Ruter a testé des bus électriques de Yutong et du constructeur néerlandais VDL dans une installation située à l'intérieur d'un tunnel de montagne, une mesure visant à empêcher toute connectivité externe et à simuler les pires conditions possibles.

Au cours de ces tests, Ruter a découvert que le constructeur chinois Yutong avait accès aux systèmes d'exploitation pour les mises à jour logicielles et les diagnostics, ainsi qu'au système de contrôle de la batterie et de l'alimentation électrique, via une carte SIM de réseau mobile (une carte SIM roumaine). “ En théorie, ce bus peut donc être arrêté ou rendu inutilisable par le constructeur ”, selon le rapport.

Risque de piratage ou de sabotage

Du point de vue de la cybersécurité, le rapport de Ruter a immédiatement déclenché l'alerte dans les pays de l'UE où circulent les bus électriques de Yutong. Après tout, un tel accès ouvre la voie à des risques potentiels de piratage, de sabotage ou d'accès non autorisé à des fonctions vitales du système du véhicule.

En Norvège, par exemple, 850 bus électriques Yutong sont actuellement en service. Au Danemark, la société de transport Movia compte 262 bus Yutong dans sa flotte.

Aux Pays-Bas, des opérateurs de bus tels que Qbuzz, Keolis et Transdev exploitent ou ont commandé des bus Yutong. Un quart des plus de 9 000 bus utilisés dans les transports publics néerlandais proviennent de Chine.

Selon le journal De Standaard, dix bus Yutong sont actuellement en service en Belgique dans des entreprises privées, dont un sous-traitant de De Lijn. Parallèlement, la société de transport public a également passé des commandes auprès de BYD.

Bien qu'aucun chiffre exact ne soit disponible pour le Royaume-Uni, les bus Yutong sont utilisés à Bristol, dans l'Essex, à Leicester, à Nottingham, dans le sud du Pays de Galles et dans le sud du Yorkshire, entre autres.

Un tel rapport alimente naturellement les craintes que les infrastructures dépendantes puissent être vulnérables à un fabricant ou à une autorité étrangère ayant accès aux véhicules utilisés dans les transports publics.

Les systèmes sont conformes à la législation locale.

Yutong, l'un des plus grands constructeurs d'autobus au monde, n'a pas immédiatement réagi à l'annonce selon laquelle ses autobus seraient vulnérables aux interférences.

Cependant, l'entreprise a précédemment déclaré que ses systèmes étaient conformes à la législation locale, que les données étaient cryptées et stockées sur les serveurs Amazon, et que l'accès n'était accordé qu'après autorisation du client. En d'autres termes, ces fonctions sont destinées à la maintenance, à l'optimisation et au service, et non au contrôle opérationnel du bus par le constructeur.

Il souligne également que les mises à jour sans fil et la connectivité numérique sont désormais la norme dans les véhicules électriques modernes, et pas seulement chez Yutong.

Exigences de sécurité plus strictes

Toutefois, par mesure de précaution, Ruter imposera des exigences de sécurité plus strictes dans ses futurs appels d'offres. L'entreprise a également développé des pare-feu qui garantissent un contrôle local et protègent contre le piratage.

Movia, pour sa part, s'efforce de revoir les évaluations des risques et cherche des moyens de mieux sécuriser les zones vulnérables contre les accès indésirables ou les pannes.

Au Royaume-Uni, le gouvernement et le Centre national de cybersécurité enquêtent pour déterminer si les bus fabriqués en Chine, tels que ceux de Yutong, constituent un risque pour la sécurité nationale. Selon le NRC, des recherches sont actuellement menées aux Pays-Bas sur les risques potentiels liés à la manipulation externe des bus et camions intelligents.

Bien qu'aucun ‘ kill switch ’ malveillant n'ait encore été démontré et que les informations dans le domaine de l'espionnage économique aient un certain air de John le Carré, l'affaire Yutong relance le débat sur l'implication de Pékin dans les infrastructures européennes.

La Chine dispose de lois obligeant les entreprises à partager leurs données avec le gouvernement lorsque cela relève de l'intérêt national. Cela rend évidemment risquée l'utilisation de technologies chinoises par les États européens, et l'UE imposera sans aucun doute, sous la devise ‘ Faire confiance, mais vérifier ’, davantage d'exigences en matière de transparence numérique et d'accès au code source pour les technologies étrangères dans ses règles d'approvisionnement.