Cybersécurité IRVE : Menaces réseau, risques hardware et normes OCPP

Résumé rapide

La cybersécurité des infrastructures de recharge (IRVE) est désormais un enjeu opérationnel majeur. Elle implique la protection des couches réseau, l'intégrité du firmware et l'application stricte des protocoles comme OCPP et ISO 15118. Pour les CPO et installateurs, cela se traduit par des audits techniques et une supervision renforcée.

Contexte

Alors que le parc de bornes de recharge publiques et privées explose, leur connexion permanente aux réseaux (4G, Ethernet, Wi-Fi) en fait des cibles potentielles. Les acteurs concernés sont les Charge Point Operators (CPO), les installateurs IRVE, les gestionnaires de flottes d'entreprise et les fabricants de matériel. La menace ne se limite plus aux pannes de service ; elle englobe le vol de données, la manipulation des transactions et des attaques pouvant déstabiliser le réseau électrique local. Un incident de sécurité sur une borne peut compromettre l'ensemble du système de supervision (backend) auquel elle est connectée.

Analyse

La sécurisation d'un point de recharge est un problème à multiples couches, de la physique à l'application.

La surface d'attaque réseau : au-delà du port Ethernet

Chaque borne est un nœud IoT avec plusieurs vecteurs d'entrée :

• L'accès local : Ports physiques (USB, Ethernet de maintenance), interfaces sans fil (Wi-Fi, Bluetooth) souvent mal sécurisés par défaut.
• La connexion backhaul : La liaison montante (4G/5G, ligne fixe) vers la plateforme de supervision. Une interception ou un piratage de cette liaison peut permettre de falsifier les données OCPP (ex : fausser un MeterValues pour un vol d'énergie) ou d'isoler la borne.
• Le canal de communication véhicule-borne (V2G) : Protégé par le standard ISO 15118, qui utilise des certificats numériques (PKI). Une faille dans l'implémentation de ce protocole pourrait permettre une usurpation d'identité ou une attaque par déni de service sur la session de recharge.

Le firmware : le maillon faible critique

Le firmware est le système d'exploitation embarqué de la borne. Son intégrité est fondamentale.

• Vulnérabilités courantes : Mots de passe par défaut non modifiés, services réseau inutiles activés (ex : Telnet), absence de mise à jour automatique sécurisée (OCPP FirmwareUpdate).
• Chaîne d'approvisionnement et risques hardware : Un firmware peut être compromis à la source, lors de son développement ou de son flashage en usine. Cela soulève la question de la traçabilité et de l'audit des composants, notamment pour les équipements dont la chaîne de fabrication est opaque. La confiance ne peut être uniquement contractuelle ; elle doit être technique, via des audits de code et des tests d'intrusion réguliers.
• Signature et vérification : Tout firmware déployé via OCPP doit être signé numériquement. La borne doit vérifier cette signature avant toute installation, empêchant l'exécution de code non autorisé.

Le rôle central des standards : OCPP en première ligne

L'OCPP (Open Charge Point Protocol) n'est pas qu'un protocole de communication ; c'est un vecteur de sécurité.

• OCPP 1.6 vs 2.0.1 : La version 2.0.1 intègre nativement une sécurité renforcée avec le support obligatoire de TLS 1.2 (ou supérieur) pour le chiffrement des communications, et un framework de sécurité structuré. En 1.6, la sécurité est souvent une extension implémentée de manière hétérogène.
• Messages critiques : Les messages OCPP comme BootNotification, Authorize, MeterValues et FirmwareUpdate doivent être protégés contre l'écoute, l'interception et l'altération. Sans TLS, un attaquant sur le même réseau peut aisément les lire ou les modifier.
• Supervision et détection : Une plateforme de supervision moderne doit analyser les logs OCPP pour détecter des comportements anormaux (ex : tentatives d'authentification massives, sessions anormalement longues, firmware mis à jour depuis une source non approuvée).

Impact marché et technique

Pour les CPO et gestionnaires de flottes, la sécurité devient un critère d'achat et un poste de coût opérationnel. Il faudra budgétiser des audits de sécurité périodiques, une gestion rigoureuse des certificats (ISO 15118, TLS) et choisir des solutions de supervision offrant des tableaux de bord de sécurité.

Pour les installateurs IRVE, leur rôle évolue. Au-delà du câblage, ils doivent maîtriser la configuration sécurisée des bornes : désactivation des ports inutiles, configuration correcte du Wi-Fi, vérification de l'activation du TLS sur OCPP, et sensibilisation du client final.

Pour les fabricants de bornes, la pression réglementaire (comme la future Cyber Resilience Act en UE) va imposer une sécurité by design. Cela implique :

• Des processus de développement sécurisés (Secure SDLC).
• Un mécanisme de mise à jour de firmware robuste et signé.
• Une documentation technique transparente sur les mesures de sécurité embarquées.
• Une durée de support claire pour les correctifs de sécurité.

L'alternative du "hardware low-cost" non audité présente un risque systémique : une vulnérabilité découverte sur un modèle largement déployé pourrait nécessiter le rappel ou la mise à jour manuelle de milliers de bornes, un cauchemar logistique et financier.

Conclusion

La cybersécurité IRVE n'est pas un accessoire technique mais un pilier de la fiabilité de l'écosystème de recharge. Elle repose sur une approche en profondeur : un hardware de confiance, un firmware signé et maintenu, des protocoles de communication chiffrés (OCPP over TLS, ISO 15118) et une supervision proactive. Les CPO et installateurs doivent désormais intégrer ces questions dans leurs cahiers des charges et leurs pratiques d'installation. La confiance des utilisateurs finaux et la résilience du réseau électrique en dépendent.

FAQ