Le gouvernement central interdit les applications permettant l'arrêt à distance des e-rickshaws

Le gouvernement indien a pris des mesures décisives en retirant deux applications mobiles des principales boutiques d'applications, suite à des rapports indiquant qu'elles pouvaient être utilisées pour désactiver à distance des e-rickshaws. Cette initiative vise à freiner les menaces croissantes en matière de cybersécurité au sein de l'écosystème des véhicules électriques (VE) en pleine expansion en Inde.

L'essor des exploits d'arrêt à distance

Cette répression fait suite à une inquiétude généralisée déclenchée par des vidéos virales sur les réseaux sociaux montrant des e-rickshaws devenant inopérables en plein trajet. L'application principale identifiée dans ces rapports est BAT-BMS, un outil développé par Shenzhen Grenergy Technology en Chine. Bien qu'elle ait été conçue comme un utilitaire légitime pour surveiller l'état de la batterie, la tension et la température, les fonctionnalités de gestion à distance de l'application auraient été détournées à des fins malveillantes.

L'exploit permet aux utilisateurs de se connecter sans fil aux batteries au lithium compatibles Bluetooth dans un rayon spécifique. Une fois connecté, l'application peut être utilisée pour couper la fonction de décharge de la batterie, ce qui arrête effectivement le véhicule et laisse les conducteurs en détresse. Dans plusieurs cas signalés, des conducteurs d'e-rickshaws ont affirmé avoir dû payer des inconnus simplement pour redémarrer leur véhicule après avoir été la cible de ces perturbations numériques.

Failles de sécurité dans les systèmes de gestion de batterie à bas prix

La vulnérabilité ne réside pas seulement dans le logiciel, mais aussi dans le matériel utilisé dans de nombreux véhicules électriques économiques à travers l'Inde. Les responsables gouvernementaux ont souligné qu'un nombre important d'e-rickshaws utilisent des systèmes de gestion de batterie (BMS) fabriqués en Chine qui manquent de protocoles de sécurité robustes.

Ces unités BMS spécifiques fonctionnent souvent sans protection par mot de passe ni couches d'authentification nécessaires. Ce manque de « verrous numériques » permet à n'importe quel individu à proximité disposant de l'application BAT-BMS d'établir très facilement une connexion Bluetooth et de manipuler la puissance de sortie. Le département des transports du gouvernement de Delhi a été chargé d'enquêter sur l'authenticité de ces affirmations et d'évaluer les risques posés par la gestion des batteries via Bluetooth.

Le gouvernement exige un contrôle accru de la part des boutiques d'applications

S'exprimant lors du sommet sur la cybersécurité de la CII, le secrétaire aux technologies de l'information, S Krishnan, a confirmé que le gouvernement avait déjà agi pour retirer les applications incriminées. Cependant, le gouvernement ne s'arrête pas au simple retrait des applications ; les responsables cherchent désormais à tenir les fournisseurs de plateformes pour responsables.

M. Krishnan a souligné que les boutiques d'applications doivent faire preuve d'un niveau de diligence beaucoup plus élevé avant d'héberger des applications susceptibles de poser des risques physiques ou économiques aux citoyens. Le gouvernement central a l'intention d'engager le dialogue avec les principaux exploitants de boutiques d'applications pour s'assurer que les logiciels potentiellement nocifs ou exploitables soient interceptés avant d'atteindre le public. Cet incident met en évidence la nécessité critique de réglementations de cybersécurité standardisées dans le secteur de la fabrication de composants pour véhicules électriques en Inde afin de prévenir de futures vulnérabilités.

Points clés à retenir

  • Action immédiate prise : Le gouvernement central a retiré deux applications, dont la BAT-BMS développée en Chine, des boutiques d'applications afin d'empêcher la désactivation à distance des e-rickshaws.
  • Vulnérabilité matérielle : Le problème provient des unités BMS chinoises à bas prix qui manquent de fonctionnalités de sécurité essentielles telles que la protection par mot de passe et l'authentification.
  • Pression réglementaire : Le ministère des Technologies de l'information appelle à un contrôle plus strict de la part des boutiques d'applications afin d'empêcher la distribution d'applications pouvant être exploitées pour perturber les infrastructures physiques et les transports.