Longtemps perçues comme de simples équipements techniques, les bornes de recharge pour véhicules électriques sont désormais au cœur d’un nouveau front numérique. À mesure que la mobilité électrique s’impose et que les réseaux de recharge se densifient, ces infrastructures essentielles à la transition énergétique attirent de plus en plus l’attention des cybercriminels. Aux États-Unis, le phénomène s’est nettement accentué en 2024, avec une hausse estimée à 39 % des incidents liés à des cyberattaques par rapport à l’année précédente. En Europe, la tendance est similaire, avec des attaques qui se multiplient, gagnant à la fois en fréquence et en sophistication, signe de l’intérêt croissant des hackers.
Ces systèmes interconnectés se situent au croisement entre la mobilité, l’énergie et les services numériques. Et si ces bornes se sont déployées à grande vitesse, leur niveau de sécurité demeure inégal. Véritables objets connectés, elles échangent en permanence avec les véhicules, les applications mobiles des opérateurs et les systèmes de paiement. Cette interconnexion élargit considérablement leur surface d’attaque et expose les utilisateurs comme les exploitants à de multiples risques, allant du vol de données personnelles à l’intrusion de logiciels malveillants susceptibles de perturber le service.
Parmi les techniques les plus courantes figure le phishing via l’utilisation de faux QR codes apposés directement sur les bornes. Les conducteurs qui les scannent sont redirigés vers des sites frauduleux imitant les interfaces officielles de recharge, facilitant la collecte de données bancaires ou d’identifiants personnels. Des cas de fuites massives de données ont également été observés : noms d’utilisateurs, localisation précise des bornes ou numéros de série de véhicules se sont retrouvés sur le dark web après l’exploitation de vulnérabilités techniques.
Les conséquences dépassent largement le simple préjudice financier. Une borne compromise peut perturber l’accès au service, provoquer des erreurs de facturation ou ouvrir l’accès à des informations sensibles. Pour les opérateurs, ces incidents nuisent à la confiance des usagers et peuvent entraîner des interruptions de service coûteuses à réparer. À une échelle plus large, certains experts alertent sur le risque théorique d’une attaque coordonnée, qui pourrait provoquer des perturbations sur des réseaux électriques locaux, tant les systèmes de recharge sont désormais intégrés aux outils de gestion de l’énergie.
Le défi de la standardisation face aux cybermenaces
La vulnérabilité du secteur s’explique en partie par la rapidité de son déploiement. En quelques années, des milliers de bornes ont été installées, souvent avec des matériels hétérogènes, des firmwares (logiciels embarqués) disparates et des niveaux de sécurité variables. Le protocole OCPP (Open Charge Point Protocol), largement utilisé pour la communication entre les bornes et les systèmes centraux des opérateurs, peut lui-même être exposé à des failles lorsqu’il est mal configuré ou insuffisamment chiffré. De même, des standards plus sécurisés comme la norme ISO 15118 et la technologie « Plug & Charge » existent, mais leur adoption reste encore partielle.
Face à ces menaces, plusieurs solutions sont désormais identifiées. Pour les usagers, la prudence passe notamment par l’utilisation des applications officielles des opérateurs et l’évitement des QR codes visibles sur les bornes. Pour les exploitants, le renforcement des mécanismes d’authentification, la mise à jour régulière des logiciels, la segmentation des réseaux de bornes et la réalisation d’audits de sécurité approfondis constituent des leviers essentiels. Les autorités et les industriels recommandent une approche de cette cybersécurité « en profondeur », intégrant également des dispositifs de surveillance et des plans de réponse aux incidents.
Cette montée des cybermenaces s’accompagne d’un durcissement réglementaire. La directive européenne NIS2 (Network and Information Security 2), entrée en application depuis 2024, intègre les réseaux de recharge dans le champ des infrastructures critiques, en raison de leur rôle au carrefour de l’énergie et des transports. En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) appelle les opérateurs à aligner leurs pratiques sur les référentiels de la cybersécurité industrielle et à sécuriser l’ensemble de la chaîne d’approvisionnement logicielle. La cybersécurité n’est plus une option, mais une obligation pour l’avenir de la recharge.
Dans l'actualité
- Le jumeau numérique, un risque spécifique de cybersécurité
- Vol de données de santé : le jackpot pour les cybercriminels !
- Les pirates et les experts en cybersécurité misent sur l’IA agentique pour être plus efficaces
- Cybersécurité applicative et hébergement web : quelles garanties techniques pour des déploiements sous WordPress ?
- La cybersécurité des infrastructures critiques : un enjeu majeur pour tous les pays
- Véhicules électriques : les câbles de recharge ciblés par les voleurs de cuivre
Dans les ressources documentaires
- Risques en cybersécurité de l’IoT - Panorama des principales menaces
- Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023
- Cybersécurité des installations industrielles - SCADA et Industrial IoT
- NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne
- EBIOS RM - Une méthode conforme aux exigences de cybersécurité