Alors que la France compte aujourd’hui plus de 1,3 million de véhicules électriques et 150.000 bornes de recharge publiques, ces infrastructures émergent comme des points vulnérables aux cyberattaques. Des logiciels de rançon aux vols de données, en passant par le sabotage à distance, les risques augmentent. Un récent rapport publié par Upstream met en lumière ces dangers.
Une voiture électrique vulnérable dès qu’elle se branche
Les bornes de recharge ne sont pas de simples prises électriques surdimensionnées. Ce sont de véritables terminaux connectés, qui échangent des données sensibles : identité de l’utilisateur, numéro de série du véhicule, géolocalisation de la borne, voire informations bancaires.
Autant dire une aubaine pour les pirates informatiques. Selon le rapport 2025 sur la cybersécurité des mobilités connectées publié par Upstream, 108 attaques par ransomware et 214 violations de données ont été recensées en 2024 à l’échelle mondiale. Une affaire en particulier inquiète. En novembre 2024, 116 000 enregistrements contenant des données critiques ont été retrouvés en vente sur le dark web. La faille ? Plusieurs stations de recharge mal sécurisées.
Exploiter les failles des bornes de recharge publiques
La méthode est d’une efficacité redoutable. « Les pirates peuvent aussi déclencher des recharges gratuites ou cloner des badges de clients et utiliser leurs comptes frauduleusement », explique Ion Leahu-Aluas, fondateur de Driveco à 20 Minutes. Et ce n’est qu’un début. À distance, les hackers exploitent des failles pour créer des « backdoors » dans les systèmes.
L’objectif est de voler des données, installer des malwares, ou pire… déstabiliser un réseau électrique local en générant une fausse demande massive. Le rapport d’Upstream évoque aussi une menace en cascade, une borne infectée pourrait servir de point d’entrée pour compromettre les véhicules branchés.
Des QR codes piégés
En Belgique, des QR codes frauduleux apposés sur des bornes de recharge redirigeaient les utilisateurs vers de faux sites de paiement, capturant leurs données bancaires. En Espagne, des bornes jugées vulnérables ont été retirées du marché car activables à distance.
Et en Lituanie, des hacktivistes russes ont paralysé l’ensemble du réseau national de recharge pendant plusieurs heures. Il ne s’agit plus de science-fiction. Anda, un « pirate éthique » interrogé par le quotidien, confirme : « Le risque zéro n’existe pas à partir du moment où un appareil est connecté à Internet. »
La cybersécurité à la traîne… et les utilisateurs en première ligne
Les constructeurs de bornes assurent multiplier les tests de pénétration. « Une seule faille a été trouvée et corrigée en direct », affirme Tanguy Leiglon, directeur commercial chez Autel Energy Europe. Chez Driveco, même vigilance : veille constante sur les menaces cyber. Mais est-ce suffisant ?
Loïc Lebain, expert chez Wavestone, appelle à l’unification des standards dans des propos rapportés par 20 Minutes : « Pour assurer une réponse cyber unifiée, il y a de nouveaux standards qui se développent au travers de normes permettant d’avoir le même niveau de sécurité sur toute la chaîne. » Et le consommateur, dans tout ça ? Il doit vérifier visuellement les bornes, éviter les QR codes suspects, mettre à jour ses logiciels et utiliser des mots de passe robustes.
Face à cette avalanche de vulnérabilités, certains appellent à généraliser la création de vSOC (Vehicle Security Operation Centers), centres de sécurité capables de détecter les attaques en temps réel. Mais peu d’opérateurs en sont équipés. Or, selon Upstream, les attaques dites « à impact massif » ont triplé entre 2023 et 2024. En l’absence d’une régulation robuste et de contrôles imposés, le risque d’un black-out numérique sur les réseaux de recharge plane toujours.
