Le gouvernement central interdit des applications après des signalements de coupures à distance d'e-rickshaws

Le gouvernement indien a pris des mesures décisives en retirant deux applications mobiles des principales boutiques d'applications, suite à des signalements alarmants concernant la désactivation à distance d'e-rickshaws. Cette répression fait suite à des préoccupations croissantes en matière de cybersécurité concernant la vulnérabilité des systèmes de gestion de véhicules connectés à Internet utilisés dans le vaste secteur des véhicules électriques du pays.

La controverse BAT-BMS et les perturbations à distance

La controverse a éclaté après la diffusion de vidéos virales sur les réseaux sociaux, montrant des individus utilisant une application appelée BAT-BMS pour éteindre à distance des e-rickshaws. L'application, développée par Shenzhen Grenergy Technology en Chine, était à l'origine conçue comme un outil légitime pour surveiller l'état de santé des batteries, incluant des paramètres tels que la tension et la température.

Cependant, les capacités de contrôle à distance de l'application ont été exploitées pour perturber le fonctionnement des véhicules. En se connectant via Bluetooth à des batteries au lithium compatibles, des utilisateurs non autorisés ont pu désactiver la fonction de décharge de la batterie, laissant ainsi les conducteurs immobilisés en pleine route. Certains conducteurs ont même rapporté avoir dû payer des inconnus pour les aider à redémarrer leur véhicule après avoir été la cible de ces coupures numériques.

Vulnérabilités des BMS fabriqués en Chine

L'incident a mis en lumière une faille de sécurité critique dans le segment des e-rickshaws à bas prix en Inde. Les conclusions préliminaires des responsables gouvernementaux suggèrent que de nombreux e-rickshaws en Inde utilisent des systèmes de gestion de batterie (BMS - Battery Management Systems) fabriqués en Chine qui manquent de fonctionnalités de sécurité essentielles.

Ces systèmes fonctionnent souvent sans protection par mot de passe ni protocoles d'authentification robustes. Comme l'application BAT-BMS permet aux utilisateurs de se connecter sans fil à des batteries au lithium compatibles Bluetooth dans un rayon limité, l'absence de sécurité permet à toute personne à proximité d'intercepter le signal et de désactiver la sortie de puissance. Cette vulnérabilité transforme un outil de diagnostic en une arme potentielle de harcèlement numérique et de vol.

Réponse du gouvernement et demandes de contrôle

Le secrétaire aux technologies de l'information, S Krishnan, a confirmé le retrait des applications lors d'un sommet sur la cybersécurité de la CII, déclarant que le gouvernement avait agi immédiatement après que le problème a été mis au jour. Au-delà du retrait des applications spécifiques, le gouvernement central appelle désormais à une plus grande responsabilité de la part des fournisseurs mondiaux de boutiques d'applications.

M. Krishnan a souligné que les boutiques d'applications doivent faire preuve de niveaux de diligence raisonnable et de contrôle beaucoup plus élevés avant d'héberger des applications sur leurs plateformes. Le gouvernement a l'intention d'aborder la question avec ces fournisseurs pour s'assurer qu'aucun logiciel potentiellement nocif ou exploitable ne soit mis à la disposition du public. Parallèlement, le département des transports du gouvernement de Delhi a été chargé d'enquêter sur l'authenticité de l'application BAT-BMS et sur ses vulnérabilités spécifiques liées au Bluetooth.

Points clés à retenir

  • Action immédiate : Le gouvernement indien a retiré deux applications, dont la BAT-BMS développée en Chine, des boutiques d'applications afin d'empêcher de nouvelles désactivations à distance d'e-rickshaws.
  • Faille de sécurité : De nombreux e-rickshaws à bas prix utilisent des systèmes de gestion de batterie (BMS) non sécurisés fabriqués en Chine qui manquent de protection par mot de passe, ce qui les rend vulnérables aux attaques via Bluetooth.
  • Pression réglementaire : Le gouvernement central exige un contrôle et une diligence raisonnable plus stricts de la part des plateformes de boutiques d'applications afin d'empêcher la distribution d'applications nocives ou exploitables.