Le gouvernement central retire des applications liées à l'arrêt à distance d'e-rickshaws

Le gouvernement indien a pris des mesures décisives en retirant deux applications mobiles des principales boutiques d'applications, suite à des rapports indiquant qu'elles étaient utilisées pour désactiver à distance des e-rickshaws. Cette décision fait suite à des préoccupations croissantes en matière de cybersécurité concernant la vulnérabilité des systèmes de gestion de véhicules connectés à Internet dans le pays.

Menace de cybersécurité : la controverse BAT-BMS

La répression a été déclenchée après la large diffusion de vidéos sur les réseaux sociaux, montrant apparemment des individus arrêtant à distance des e-rickshaws à l'aide d'une application chinoise appelée BAT-BMS. Développée par Shenzhen Grenergy Technology en Chine, l'application était à l'origine conçue comme un outil légitime pour surveiller l'état de santé des batteries au lithium, incluant des paramètres tels que la tension et la température.

Cependant, les fonctionnalités de l'application auraient été exploitées pour perturber les transports locaux. Des utilisateurs ont été vus utilisant l'application pour désactiver la fonction de décharge de la batterie, laissant ainsi les conducteurs immobilisés en pleine route. Certains conducteurs ont même rapporté avoir dû payer des inconnus pour les aider à redémarrer leur véhicule après avoir été la cible de ces arrêts à distance.

Vulnérabilités techniques des e-rickshaws d'entrée de gamme

Les enquêtes préliminaires menées par les responsables gouvernementaux suggèrent que le problème réside à l'intersection de matériel non sécurisé et de connectivité sans fil. De nombreux e-rickshaws économiques en Inde utilisent des systèmes de gestion de batterie (BMS - Battery Management Systems) de fabrication chinoise qui manquent de protocoles de sécurité robustes.

Ces systèmes fonctionnent souvent sans protection par mot de passe ni mesures d'authentification avancées. Comme l'application BAT-BMS permet aux utilisateurs de se connecter sans fil à des batteries au lithium compatibles Bluetooth dans une portée limitée, toute personne possédant l'application peut potentiellement intercepter et contrôler la puissance de sortie de la batterie si le système n'est pas sécurisé. Cela met en évidence une lacune importante dans l'infrastructure de cybersécurité du segment en pleine croissance des véhicules électriques (VE).

Réponse du gouvernement et appel à la vigilance

Le secrétaire aux technologies de l'information (IT), S Krishnan, a confirmé le retrait des applications lors d'un sommet sur la cybersécurité de la CII, déclarant que le gouvernement était intervenu immédiatement après l'apparition des rapports. Au-delà du retrait, le gouvernement central porte désormais son attention sur la responsabilité des fournisseurs de plateformes. M. Krishnan a souligné que les boutiques d'applications doivent faire preuve d'une diligence raisonnable et d'une surveillance bien plus accrues avant d'héberger des applications susceptibles de poser des risques physiques ou numériques aux utilisateurs.

À Delhi, le département des transports a été chargé de vérifier l'authenticité de l'application BAT-BMS et d'enquêter sur les allégations concernant ses interférences via Bluetooth. Le ministre des Transports, Pankaj Singh, a confirmé que les responsables examinaient de près l'affaire suite à diverses plaintes, bien que les pétitions écrites formelles soient encore en cours de traitement.

Points clés à retenir

  • Action immédiate prise : Le gouvernement central a réussi à retirer deux applications problématiques des boutiques d'applications afin d'empêcher la désactivation à distance des e-rickshaws.
  • Faille de sécurité identifiée : La vulnérabilité provient de systèmes de gestion de batterie (BMS) de fabrication chinoise, dotés du Bluetooth mais non sécurisés, qui manquent de protection essentielle par mot de passe.
  • Gouvernance des applications plus stricte : Le ministère de l'IT incite les développeurs de boutiques d'applications à mettre en œuvre des processus de vérification plus rigoureux afin d'empêcher les logiciels malveillants ou exploitables d'atteindre les consommateurs.