Recharge des véhicules électriques : le « quishing » et le piratage des bornes, nouvelles menaces à connaître

Les pirates, opportunistes, ont ciblé un maillon désormais critique de la mobilité électrique : les bornes de recharge. Avec quelque 6 millions de véhicules électriques en circulation en Europe, ce réseau étendu attire de plus en plus d’attaques, avertit l’entreprise spécialisée miio.

Qu’est‑ce que le « quishing » ?

Le « quishing » est une forme de phishing qui exploite les QR codes. Des escrocs collent leur propre QR code par‑dessus celui de la borne. L’automobiliste, croyant scanner le code légitime pour payer sa charge, est redirigé vers un site frauduleux qui reproduit l’interface de l’opérateur. En renseignant ses coordonnées bancaires, il les livre aux voleurs. Cette technique a déjà fait des victimes, notamment dans le Loiret.

Les bornes peuvent‑elles être piratées ?

Oui. Les bornes modernes, objets connectés souvent insuffisamment protégés, présentent des failles exploitables. Lors du concours de hacking éthique Pwn2Own Automotive 2024, des experts ont démontré qu’il était possible d’exploiter des vulnérabilités logicielles de ces équipements.

Les conséquences potentielles sont variées et lourdes :

• manipulation de la facturation ;
• interruption brutale ou altération de la session de charge ;
• exécution de code malveillant permettant de prendre le contrôle d’un système, voire de propager l’attaque au réseau de l’opérateur.

Les données personnelles sont‑elles menacées ?

Oui. Les opérateurs de recharge sont aussi des cibles. En novembre dernier, une intrusion dans plusieurs réseaux européens a entraîné la mise en ligne sur le dark web de 116 000 enregistrements sensibles. Ces fichiers comprenaient des noms d’utilisateur, des numéros de série de véhicules et l’historique de localisation des bornes utilisées — des informations utiles pour mener des campagnes de phishing ciblées ou d’autres actions malveillantes.

Comment réduire les risques ?

Plusieurs réflexes simples permettent de se protéger :

• Se méfier des QR codes collés ou altérés sur les bornes. Privilégier l’application mobile officielle de l’opérateur pour lancer et payer la session.
• Si le paiement se fait via un navigateur, vérifier attentivement l’URL : une lettre changée ou une extension de domaine suspecte doit alerter.
• Éviter d’utiliser un réseau Wi‑Fi public (aires d’autoroute, centres commerciaux) pour effectuer un paiement. Préférer votre forfait mobile ou, si possible, activer un VPN.

Foire aux questions

Qu’est‑ce que le « quishing » ?

Le quishing est une technique d’hameçonnage basée sur un QR code frauduleux qui redirige vers un site imitant celui d’un service légitime pour dérober des informations.

Les bornes de recharge sont‑elles la seule cible de quishing ?

Non. On observe la même méthode sur de fausses contraventions glissées sur des pare‑brise, ou sur des horodateurs dont le QR code a été recouvert par un autocollant frauduleux.

Comment sait‑on que les bornes sont vulnérables ?

Des experts en sécurité l’ont démontré publiquement lors d’événements comme Pwn2Own Automotive 2024, où des failles logicielles des bornes ont été exploitées dans un cadre contrôlé.

En gardant ces précautions, conducteurs et opérateurs peuvent réduire les risques liés à la numérisation croissante des infrastructures de recharge.