On peut pirater votre voiture électrique via une borne de recharge publique

N’importe quel objet connecté peut faire l’objet d’une cyberattaque. Ordinateurs, téléphones, caméras, montres et même certains sex-toys. Partant de ce principe, les bornes de recharge de véhicules électriques installées sur le domaine public n’échappent pas à la règle, y compris en France. Mais quels types d’attaques ces bornes peuvent-elles subir et quels sont les risques pour les utilisateurs ?

Avec près de 1,3 million de véhicules électriques en circulation dans l’Hexagone et un parc de plus de 150.000 bornes de rechargement publiques, la tentation est grande pour les pirates d’aller y fourrer le nez. D’autant que ces infrastructures sont très gourmandes en termes d’informations demandées à leurs clients, notamment des données personnelles et bancaires. D’ailleurs, dans son rapport 2025 sur la cybersécurité des mobilités connectées, Upstream note une centaine d’attaques type « ransomeware » ciblant l’écosystème automobile en 2024 et plus de 200 « violations de données » pour la même année.

Vol de données, rançongiciels

Des attaques spécifiques contre des réseaux de rechargement de véhicules électriques ont été constatées, notamment en novembre, lorsqu’un pirate a publié 116.000 enregistrements de données sensibles volées grâce à une faille dans plusieurs stations à travers le monde. Selon le rapport, se sont retrouvées sur le darkweb des informations telles que les « noms des consommateurs, emplacements des bornes de recharge ou numéros de série des véhicules ».

La plupart des attaques sont effectuées à distance, en exploitant des failles de sécurité afin d’ouvrir des « back door » dans les systèmes. Une fois dedans, les pirates volent des données personnelles ou déploient des rançongiciels afin de soutirer de l’argent aux exploitants des stations de recharge. « Les pirates peuvent aussi déclencher des recharges gratuites ou cloner des badges de clients et utiliser leurs comptes frauduleusement », ajoute Ion Leahu-Aluas, fondateur de Driveco.

Selon Upstream, une borne infectée peut aussi « servir de point d’entrée pour étendre l’attaque à l’ensemble du réseau » et potentiellement « compromettre les véhicules branchés en injectant des malwares » ou « surcharger le système en créant une fausse demande ». En théorie, cela peut aller jusqu’à la « déstabilisation des réseaux électriques locaux provoquant des perturbations généralisées ». Contacté par 20 Minutes, Anda, un « pirate éthique », reconnaît qu’un tel « scénario est plausible » en fonction des « failles laissées par les concepteurs de bornes ».

« Le risque zéro n’existe pas »

Pour Loïc Lebain, senior manager en cybersécurité chez Wavestone, de telles attaques sont en effet « théoriquement possibles », même s’il n’a pas connaissance de cas avérés, à l’instar du rapport d’Upstream qui n’en mentionne pas non plus. Un scénario qui, pour lui, n’est pas le plus probable. « Ce sont des infrastructures sécurisées et ces réseaux sont constamment surveillés pour détecter les mouvements suspects », affirme l’expert.

Chez Autel Energy Europe, un fabricant de bornes, une telle éventualité semble inenvisageable. « Avant chaque lancement de produit, nous effectuons des tests de pénétration des systèmes par des hackers, assure Tanguy Leiglon, directeur commercial. Une seule faille a été trouvée et corrigée en direct. » Même procédé chez le concepteur de bornes Driveco, qui comme son concurrent, « assure en plus une veille sur les menaces cyber afin d’anticiper les nouvelles attaques ». Anda, lui, relativise, insistant sur le fait que « le risque zéro n’existe pas à partir du moment où un appareil est connecté à Internet ». Selon le pirate, « tout est possible en cyber lorsqu’on a assez de temps et d’efforts à dépenser pour casser une sécurité ».

En revanche, Loïc Lebain reconnaît que d’autres risques ne relèvent pas du domaine de la science-fiction et ne nécessitent pas de pénétrer les systèmes des bornes. « Il y a d’abord le faux QR code apposé sur la borne et qui redirige le client vers un site frauduleux imitant le site de l’exploitant de la borne », explique l’expert. Le client s’apercevra de la manipulation en constatant que sa voiture ne se recharge pas, « mais il sera trop tard. » Seule parade, privilégier les grosses stations d’enseignes connues et vérifier le QR code avant de le scanner, notamment qu’un sticker n’a pas été collé dessus. Un problème évité sur les bornes Autel, qui utilisent un QR code digital au lieu d’un sticker.

Avoir une « bonne hygiène numérique »

Contre le vol de données, ce sont les fabricants et les opérateurs qui doivent assurer la sécurité de la chaîne complète, de ses serveurs à la borne de recharge en passant par les liaisons. « Les interfaces borne-voiture, borne-cloud sont sécurisées chez nous, mais nous ne maîtrisons en effet pas la sécurité des serveurs de nos clients », reconnaît Tanguy Leiglon. Un potentiel maillon faible qui pourrait ne plus l’être bientôt. « Pour assurer une réponse cyber unifiée, il y a de nouveaux standards qui se développent au travers de normes permettant d’avoir le même niveau de sécurité sur toute la chaîne », explique le senior manager en cybersécurité chez Wavestone. Le client, lui, doit avoir « un rôle actif de vigilance » afin d’éviter de tomber dans le piège du phishing en cas de compromission de ses données.

Notre dossier sur la cybersécurité

Pour les usagers de bornes de recharge électriques, les experts préconisent certaines règles de bon sens pour éviter les problèmes. Des règles applicables « dans de nombreux autres domaines », assure Tanguy Leiglon. D’abord « l’hygiène numérique » comme l’appelle l’expert de Wavestone. « Mettre des mots de passe forts et faire les mises à jour, du logiciel de sa voiture, de son smartphone et de ses applications », précise-t-il. « Et vérifier visuellement les bornes pour détecter d’éventuels dispositifs suspects », ajoute le directeur commercial de chez Autel.