La Norvège lance un audit de cybersécurité après la découverte d’une fonction d’accès à distance dans des bus chinois

 (scandasia.com)
1 points par GN⁺ 2025-11-06 | 1 commentaires | Partager sur WhatsApp
  • L’opérateur de transports publics norvégien Ruter a découvert une carte SIM cachée dans des bus électriques chinois Yutong, poussant le gouvernement à lancer un examen de cybersécurité
  • Des tests internes ont confirmé la présence d’une carte SIM roumaine ; en théorie, le fournisseur pourrait immobiliser les véhicules à distance ou manipuler le logiciel
  • Ruter a déclaré n’avoir constaté aucune preuve d’abus, tout en soulignant que cette découverte marquait le passage du stade du soupçon à celui des faits concrets
  • L’entreprise a retiré la carte SIM et renforcé les règles d’approvisionnement, les pare-feu et les exigences de sécurité cloud afin de localiser le contrôle opérationnel
  • Sur environ 1 300 bus électriques, 850 sont des modèles Yutong, ce qui met en lumière les risques de sécurité des chaînes d’approvisionnement technologiques étrangères

La Norvège lance un audit de cybersécurité

  • La Norvège a entamé un contrôle de cybersécurité à l’échelle nationale après la découverte d’une carte SIM cachée dans des bus électriques Yutong fabriqués en Chine
    • Ces bus sont exploités par Ruter, opérateur de transports publics, et la carte SIM a été trouvée lors de tests menés dans une installation de sécurité interne
    • Cette carte SIM impliquait une possibilité d’accès à distance et de contrôle du véhicule
  • Ruter a expliqué avoir confirmé la possibilité théorique pour le fournisseur chinois d’immobiliser les véhicules ou d’intervenir via des mises à jour logicielles
    • Aucun cas d’abus réel n’a toutefois été observé, et l’entreprise a qualifié cette découverte de « passage du soupçon aux faits concrets »

Mesures prises par Ruter

  • Ruter a immédiatement procédé au retrait de la carte SIM et a lancé un renforcement des procédures d’approvisionnement et du dispositif de sécurité interne
    • L’objectif est de garantir un contrôle local de l’ensemble des opérations de transport en renforçant les pare-feu internes et les exigences de sécurité cloud
  • L’entreprise réexamine également les conditions d’appel d’offres et de contrat afin de renforcer la sécurité de la chaîne d’approvisionnement

Réaction du gouvernement et orientation politique

  • Le ministre norvégien des Transports, Jon-Ivar Nygård, a déclaré dans une interview à la chaîne publique NRK
    qu’une évaluation des risques liés aux fournisseurs issus de pays extérieurs aux alliances de sécurité de la Norvège était en cours
    • Il a souligné la nécessité de protéger les infrastructures critiques
  • Le gouvernement profite de cet incident pour réexaminer les normes de sécurité numérique des systèmes de transport public

Situation de l’exploitation des bus électriques et évaluation du risque

  • En Norvège, environ 1 300 bus électriques sont en service, dont environ 850 sont des modèles Yutong
    • Environ 300 circulent rien que dans les régions d’Oslo et d’Akershus
  • Ruter estime que la probabilité d’une véritable tentative d’ingérence est faible,
    mais souligne que cet incident montre la montée des risques de cybersécurité liés aux fournisseurs technologiques étrangers

Contexte international

  • Alors que les bus électriques chinois se diffusent davantage à l’échelle mondiale, en particulier avec leur expansion sur les marchés d’Asie du Sud-Est,
    cet incident alimente les inquiétudes sur la dépendance numérique et la vulnérabilité stratégique des systèmes de transport public
  • Le PDG de Ruter, Bernt Reitan Jenssen, a déclaré : « La probabilité que ces bus soient exploités de manière malveillante est faible, mais ce risque doit être pris très au sérieux. »

Aucune information supplémentaire dans le texte original

À lire aussi

1 commentaires

 
GN⁺ 2025-11-06
Avis sur Hacker News

  • Je travaille dans la sécurité ferroviaire. Il y a quelques années, deux grandes entreprises ferroviaires non chinoises ont tenté de fusionner afin de rivaliser avec une entreprise publique chinoise et de réduire le risque de cyberpiratage sur les réseaux ferroviaires occidentaux
    Mais un responsable de l’UE a bloqué l’opération pour des raisons antitrust, et elle a échoué
    Plusieurs tentatives d’ajustement ont suivi, sans jamais obtenir d’autorisation
    Résultat, le CRCC chinois continue de remporter des contrats à l’étranger. On soupçonne qu’il accepte des contrats à perte pour viser le vol de propriété intellectuelle. Dans ce contexte, prendre le contrôle de réseaux ferroviaires a aussi une grande importance stratégique sur le plan militaire
    Cet article parle de bus, mais les parallèles avec le ferroviaire sont évidents

    • Il y a un an, un fournisseur polonais d’équipements ferroviaires a intenté un procès à propos d’un problème de jailbreak du logiciel de locomotive. Le reproche était qu’un tiers avait rendu possible une maintenance non officielle.
      La technologie de surveillance intégrée au produit n’est pas forcément destinée à la guerre, mais ce n’est pas pour autant une bonne chose
    • Même si la fusion européenne avait abouti, l’entreprise aurait été 10 fois plus petite que les groupes chinois et serait devenue un quasi-monopole en Europe. Je ne pense donc pas que la décision de bloquer la fusion était totalement erronée
    • L’Occident est trop indulgent avec ce genre de bureaucrates. La Chine viole ouvertement les règles de l’OMC en faisant tourner des entreprises soutenues par l’État, et ceux qui prennent ce type de décisions affaiblissent la réponse occidentale
    • Au fond, je me demande pourquoi il devrait exister des « entreprises ferroviaires privées »
    • En temps de guerre, la logistique est essentielle, donc on ne peut pas sous-estimer l’importance stratégique du contrôle du rail. Le même raisonnement s’applique aux drones et aux voitures

  • Je me demande si c’est l’entreprise chinoise qui a mis une carte SIM roumaine dans les bus, ou si c’est l’importateur qui l’a installée.
    Je me demande aussi si la connexion sert à la gestion du véhicule ou s’il s’agit vraiment d’une communication secrète.
    Et puis je ne vois pas pourquoi on voudrait acheter des bus impossibles à superviser à distance. C’est au contraire une fonction utile dans les transports publics

    • La fonction de gestion du véhicule en question était documentée et pouvait être désactivée facilement
    • Tout cela sent simplement la propagande occidentale anti-chinoise. On dirait qu’une consigne venue d’en haut demande de renforcer la pression sur la Chine.
      Cela ressemble à une opération d’ingénierie sociale visant à créer un climat de peur pour pousser les collectivités locales à éviter les produits chinois
    • Si la Chine avait voulu cacher quelque chose, elle aurait utilisé une eSIM sans marquage.
      Elle a probablement choisi une SIM roumaine parce que le forfait fonctionne bien dans tout l’EEE.
      C’est un cas de FUD (peur, incertitude et doute) exagéré, mais le fait que la moitié des véhicules soient de fabrication chinoise aurait tout de même dû inciter à la prudence

  • C’est dommage que la Norvège ait acheté des bus chinois fabriqués à des milliers de kilomètres alors qu’elle a juste à côté d’elle Scania et Volvo, qui produisent aussi des bus.
    On dirait qu’aujourd’hui la réduction des coûts décide de tout. Pourtant, pour des infrastructures nationales, la sécurité et le contrôle sont plus importants

    • Ce qui est encore plus triste, c’est que même la Suède a remplacé ses bus par des bus BYD au lieu de garder ses propres marques
    • J’étais surpris d’apprendre que Volvo fabrique encore des bus en Suède. Mais avec 78 % de capital chinois, c’est de fait une entreprise chinoise
    • La Chine a environ 10 ans d’avance sur Scania/Volvo dans la technologie des bus électriques. Il est très probable qu’à l’époque les constructeurs européens n’avaient tout simplement pas de modèle adéquat
    • L’entreprise norvégienne Tide prévoit d’introduire l’été prochain des bus électriques Scania
      Communiqué lié
    • En réalité, les bus suédois ont eux aussi des cartes SIM. La différence, c’est qui peut utiliser cette porte dérobée.
      Bien sûr, aujourd’hui la probabilité que la Suède attaque la Norvège est quasi nulle, mais au regard de l’histoire, l’ironie est intéressante

  • Il y a eu autrefois l’affaire de la porte dérobée dans les trains polonais, et je me demande ce qu’elle est devenue

    • L’affaire est toujours en instance devant les tribunaux. Article lié
    • Tolérer la tromperie des consommateurs par des entreprises nationales tout en ne dénonçant que l’influence étrangère, c’est de l’hypocrisie
    • De toute façon, l’objectif était de diffuser des articles destinés à alimenter la peur

  • Je suis surpris que la Norvège ait choisi cette marque. Quand on monte dedans, on a l’impression d’être assis dans une chaudière

    • Mais si la température moyenne de l’été en Norvège est d’environ 18 degrés, cette chaleur ne pose peut-être pas un si gros problème

  • Si la clé de mise à jour à distance fuit, on pourrait briquer des centaines de milliers de véhicules.
    Le simple fait de stocker un tel système fait vraiment peur

    • Plus effrayant encore qu’un simple brick, il y a le risque de surchauffe des batteries. Imaginez une situation où les véhicules d’une ville entière prendraient feu en même temps

  • Si un État voulait vraiment cacher une fonction de contrôle à des fins d’espionnage, il n’utiliserait jamais un moyen de communication aussi facile à repérer qu’une eSIM.
    Cela fait simplement partie des fonctions de diagnostic à distance IoT que les fabricants imposent depuis des années
    En revanche, l’Occident grossit cela comme s’il s’agissait d’une nouvelle menace et lui plaque un cadre de guerre commerciale
    Comme dans le cas des drones DJI, on impose des fonctions par la réglementation puis on les présente ensuite comme un problème
    Lien lié

  • Si cela avait été une eSIM, aurait-elle été beaucoup plus difficile à détecter ou à retirer ?
    À noter qu’en Suède aussi, des bus électriques BYD ont récemment été mis en service

    • L’article ne donne pas de méthode de détection précise, mais on dirait qu’ils ont trouvé directement le port SIM ou la carte.
      S’ils avaient mené un test en cage de Faraday, la présence d’une eSIM n’aurait rien changé.
      Au final, je pense que cela n’aurait pas fait une grande différence, eSIM ou non

  • À mon avis, cette polémique est sans importance.
    Si le produit venait d’un autre pays, cette fonction d’accès à distance aurait simplement été appelée fonction de mise à jour logicielle
    Que la Chine désactive les bus ? C’est une action bien trop irréaliste et dénuée de sens
    En réalité, la plupart des appareils électroniques ont des fonctions de mise à jour automatique, et en théorie des entreprises américaines peuvent aussi les contrôler à distance.
    De ce point de vue, le vrai risque est ailleurs

  • Si ce genre de fonction se retrouve dans un bus, on peut se demander ce qui se cache dans un MacBook ou un smartphone.
    Peut-on vraiment faire confiance à Apple ?

    • Ce qui m’inquiète davantage, ce sont les périphériques PC d’entrée de gamme, les routeurs et les objets connectés pour la maison.
      Même les onduleurs solaires sont connectés en ligne, donc potentiellement exploitables à distance en temps de guerre
    • Parmi les cas liés, il y a la controverse sur les puces d’espionnage Supermicro et
      l’affaire de la porte dérobée dans le firmware de Gigabyte
    • Apple ne peut pas ne pas être au courant. C’est l’une des entreprises les plus surveillées au monde, et beaucoup n’attendent qu’une erreur pour la dénicher
    • Et il ne faut pas oublier non plus le Cloud Act américain
    • TSMC pourrait éventuellement être impliqué, mais la sécurité matérielle d’Apple est extrêmement solide.
      Toutes les données en dehors du SoC sont chiffrées.
      Le vrai danger, ce ne sont ni Apple ni Google, mais les périphériques fabriqués en Chine