Le gouvernement retire des applications suite à des signalements d'arrêts à distance d'e-rickshaws
Le gouvernement indien a pris des mesures décisives en retirant deux applications mobiles des principales boutiques d'applications, après que des rapports ont fait état de leur utilisation possible pour désactiver à distance des e-rickshaws. Cette décision fait suite à des préoccupations croissantes concernant les vulnérabilités de cybersécurité dans les systèmes de gestion de véhicules connectés à Internet utilisés dans tout le pays.
La faille de cybersécurité : comment les e-rickshaws sont ciblés
La controverse a éclaté après que des vidéos virales sur les réseaux sociaux ont démontré comment certaines applications pouvaient rendre les e-rickshaws inopérants en plein trajet. Le secrétaire aux technologies de l'information (IT), S Krishnan, a confirmé lors d'un sommet sur la cybersécurité de la CII que des mesures avaient été prises après que le gouvernement a identifié des applications spécifiques, notamment l'application d'origine chinoise « BAT-BMS », comme des menaces potentielles.
Le mécanisme derrière cette perturbation repose sur l'exploitation de la connectivité Bluetooth. Les conclusions préliminaires suggèrent que l'application permet aux utilisateurs de se connecter sans fil à des batteries au lithium compatibles Bluetooth dans un rayon limité. Bien que l'application soit ostensiblement conçue pour surveiller les paramètres de la batterie tels que la tension et la température, elle aurait été détournée pour désactiver la fonction de décharge de la batterie, laissant ainsi les conducteurs bloqués sur la route.
Vulnérabilités des systèmes de batterie fabriqués en Chine
Un facteur critique de cette faille de sécurité réside dans le matériel utilisé dans le segment des véhicules électriques à bas prix en Inde. De nombreux e-rickshaws sont équipés de systèmes de gestion de batterie (BMS - Battery Management Systems) fabriqués par des entreprises chinoises, telles que Shenzhen Grenergy Technology.
Les responsables ont souligné que ces systèmes économiques manquent souvent de fonctionnalités de sécurité essentielles, notamment une protection robuste par mot de passe ou une authentification de l'utilisateur. Ce manque de « verrouillage numérique » permet à toute personne à proximité disposant de l'application appropriée de se connecter à la batterie via Bluetooth et de manipuler sa puissance de sortie. Dans certains cas, des conducteurs ont même rapporté avoir été contraints de payer des inconnus pour les aider à redémarrer leur véhicule après avoir été victimes de ces arrêts à distance.
Le gouvernement impose un contrôle accru aux boutiques d'applications
En réponse à cet incident, le gouvernement central déplace la responsabilité vers les fournisseurs de plateformes. Le secrétaire aux technologies de l'information, M. Krishnan, a souligné que les boutiques d'applications doivent faire preuve d'une diligence raisonnable et d'un contrôle accrus avant d'héberger des applications sur leurs plateformes. Le gouvernement a l'intention de collaborer avec les exploitants de boutiques d'applications pour s'assurer que les logiciels potentiellement nocifs ou malveillants soient identifiés et bloqués avant d'atteindre le public.
Parallèlement, le gouvernement de Delhi a mobilisé son département des transports pour enquêter sur l'authenticité de l'application BAT-BMS et sa capacité à perturber le fonctionnement des véhicules via Bluetooth. Bien qu'aucune plainte écrite formelle n'ait été déposée au moment de l'enquête initiale, le ministère des transports a ordonné aux responsables d'examiner la question en profondeur afin de protéger les moyens de subsistance des exploitants d'e-rickshaws.
Points clés
- Action immédiate prise : Le gouvernement a réussi à retirer deux applications, dont la BAT-BMS de fabrication chinoise, des boutiques d'applications afin d'empêcher toute nouvelle manipulation à distance des véhicules.
- Vulnérabilité matérielle : Le problème provient de systèmes de gestion de batterie (BMS) fabriqués en Chine, dotés du Bluetooth mais non sécurisés, qui manquent de protection par mot de passe et d'authentification.
- Surveillance accrue : Le ministère des technologies de l'information incite les boutiques d'applications à mettre en œuvre des processus de filtrage plus rigoureux pour empêcher la distribution d'applications présentant des risques de cybersécurité pour les propriétaires de véhicules.
