RiskInsight

Le blog cybersécurité des consultants Wavestone

Plug&Charge et ISO 15118 : quels nouveaux risques cyber pour les bornes de recharge ? 

Comme évoqué dans notre précédent article, Infrastructures de recharge électrique : Performance énergétique et nouveaux défis cybersécurité, les opérateurs d’infrastructures de recharge pour véhicules électriques (CPO) évoluent dans un modèle économique exigeant, où la rentabilité dépend notamment de la capacité à favoriser l’usage récurrent de leurs réseaux. Dans ce contexte, la qualité de l’expérience utilisateur devient un levier important : plus le parcours de recharge est simple, plus il limite les échecs, réduit les frictions et contribue à fidéliser les conducteurs. 

C’est précisément sur ce terrain que le Plug&Charge est aujourd’hui mis en avant. Rendu possible par la norme ISO 15118, ce mécanisme permet à la borne d’authentifier automatiquement l’utilisateur afin de lancer la recharge sans badge ni application mobile. Initialement conçue pour standardiser les échanges entre véhicule, borne et réseau, l’ISO 15118 ouvre ainsi la voie à une expérience de recharge plus fluide, souvent résumée par la promesse : « je branche, ça recharge » 

Mais cette simplification visible côté utilisateur repose, en réalité, sur une complexification significative de la chaîne de confiance et des mécanismes techniques sous-jacents : certificats numériques, PKI (Public Key Infrastructure ou Infrastructure de Gestion de Clés), communication ISO 15118, nouveaux flux d’authentification et dépendances à des tiers de confiance. Autrement dit, derrière un parcours de recharge simplifié, le Plug&Charge introduit de nouveaux points de défaillance et de nouvelles surfaces d’attaque que les exploitants de bornes doivent désormais traiter comme des enjeux cyber de premier plan. 

Dans cet article, nous revenons sur trois risques directement liés au déploiement du Plug&Charge et de l’ISO 15118 : 

  • La perte de disponibilité liée à une compromission de la PKI V2G (Vehicle to Grid), 
  • La perte de disponibilité liée à l’exploitation de vulnérabilités sur l’interface ISO 15118, 
  • Le vol de certificats de bornes, et ses conséquences en matière de fraude. 

Risque 1 : perte de disponibilité liée à une compromission de la PKI V2G 

Pour comprendre ce risque, il faut d’abord rappeler que le Plug&Charge repose sur une chaîne de confiance numérique qui permet au véhicule et à la borne de s’authentifier automatiquement à l’aide de certificats, puis de déclencher la recharge sans action manuelle de l’utilisateur.  

Comme l’illustre la Figure 1, une session de recharge Plug&Charge suit une séquence en plusieurs étapes :  

  1. Établissement du canal de communication ISO15118 entre le véhicule et la borne avec authentification des parties,  
  2. Vérification du contrat de mobilité puis autorisation, 
  3. Démarrage de la charge.  

Si l’une de ces étapes échoue du fait d’un problème de confiance numérique, la recharge ne peut pas démarrer. 

Figure 1 : les étapes d’une session de recharge en Plug & Charge 

Cette mécanique s’appuie sur une PKI commune à l’écosystème, appelée PKI V2G dont le rôle est d’assurer l’interopérabilité entre véhicules, bornes et opérateurs. Cette architecture repose sur des autorités racines et des autorités intermédiaires qui délivrent et valident les certificats utilisés pendant la session de recharge (Figure 2).  

Figure 2 : l’architecture de la PKI V2G 

En Europe, cet écosystème repose aujourd’hui sur quelques acteurs de confiance structurants, notamment HubjectGireve et Irdeto, qui cumulent un rôle d’autorité de certification racine (V2G Root CA) avec des offres de gestion de certificats et d’interopérabilité Plug&Charge. 

Dans cette architecture, le CPO occupe une position clé : il doit intégrer ses bornes à cette chaîne de confiance et, selon le modèle retenu, opérer lui-même certaines briques PKI (make) ou s’appuyer sur un fournisseur spécialisé (buy). Dans les deux cas, il devient dépendant d’une infrastructure de confiance dont la compromission, l’erreur d’exploitation ou l’indisponibilité peuvent avoir un impact direct sur la disponibilité du service de recharge. 

Le risque est donc une perte de disponibilité provoquée par un incident affectant la PKI V2G. Plusieurs scénarios sont plausibles : compromission d’une autorité intermédiaire ou racine, certificats expirés non renouvelés, corruption d’un magasin de confiance, ou indisponibilité d’un composant nécessaire au cycle de vie des certificats. Dans tous ces cas, le résultat opérationnel est identique : la borne ou le véhicule ne peuvent plus établir une relation de confiance valide, et la session Plug&Charge échoue avant même le démarrage de la charge.  

Convictions 

Avec le Plug&Charge, la PKI ne protège plus seulement les échanges : elle devient un composant critique de production. Un incident sur l’infrastructure de confiance ne se traduit donc plus uniquement par un sujet de sécurité ou de conformité, mais potentiellement par une indisponibilité partielle ou massive de l’infrastructure de recharge.  

Le choix entre make et buy ne supprime pas ce risque ; il en déplace la maîtrise. Une stratégie make donne davantage de contrôle au CPO, mais suppose une gouvernance PKI mature, des capacités d’exploitation robustes et une discipline forte sur le cycle de vie des certificats. Une stratégie buy accélère le déploiement, mais accroît la dépendance à un tiers pour une fonction devenue critique, avec un besoin renforcé de pilotage contractuel, d’auditabilité et de supervision.  

D’un point de vue cybersécurité, la conséquence est claire : la PKI V2G doit être traitée comme un actif critique d’exploitation du SI des bornes de recharges. Cela implique une gouvernance explicite des rôles de confiance, une supervision continue du cycle de vie des certificats, des tests réguliers de continuité, ainsi que des scénarios de fonctionnement dégradé pour éviter qu’un incident PKI ne se transforme en rupture de service à grande échelle.

Risque 2 : perte de disponibilité de l’infrastructure de recharge par l’exploitation de vulnérabilités dans la communication ISO15118 

Ce risque découle directement de la montée en complexité du canal d’échange. Là où la recharge reposait historiquement sur une communication relativement simple, principalement fondée sur la signalisation électrique et quelques messages basiques, l’ISO 15118 introduit un dialogue haut niveau reposant sur une stack protocolaire beaucoup plus riche (Figure 3). 

Figure 3 : le modèle OSI appliqué à l’ISO15118 

Ce passage d’un protocole minimaliste à une couche applicative riche incluant découverte de l’équipement, attribution d’adresses IPv6, authentification, gestion de certificats et opérations cryptographiques, élargit mécaniquement la surface d’attaque. Notamment car l’interface de communication via la prise de recharge est par nature accessible sans barrière physique. Toute vulnérabilité dans ces échanges (ex. manipulation de messages applicatifs, injection dans les flux CPL, défaut de validation des certificats) pourrait permettre de perturber la session ou dans le pire cas, de compromettre complètement la borne.  

L’exploitation de ce type de vulnérabilité suppose toutefois un accès physique au point de charge : l’attaquant doit être en mesure d’interagir avec le canal de communication entre le véhicule et la borne. En pratique cela nécessite du matériel spécifique pour rejoindre le réseau CPL, par exemple avec une interface CPL compatible HomePlug Green PHY et une interface physique adaptée au connecteur de charge. Cette contrainte augmente la barrière à l’entrée, sans pour autant neutraliser le risque : plusieurs travaux de recherche ont démontré la faisabilité de dispositifs de laboratoire capables d’observer, de relayer ou de perturber les échanges ISO 15118 au niveau du câble ou du connecteur. 

Figure 4 : matériel nécessaire pour exploiter une vulnérabilité sur l’interface ISO15118 

Convictions 

Pour réduire ces risques, le CPO doit s’assurer du niveau de sécurité des produits de ses fournisseurs, par exemple via des audits, et de leur maturité cyber, notamment sur les processus de maintien en condition de sécurité. Il doit également mettre en place des processus de gestion de vulnérabilités sur son parc, incluant le recensement des SBOM & HBOM (Software and Hardware Bills of Materials) et le patch management pour pouvoir identifier ses assets vulnérables et réagir lorsque des attaquants exploitent une vulnérabilité sur ce nouveau canal. 

Risque 3 : le vol de certificats de bornes 

Le vol d’un certificat de borne ne constitue pas seulement un incident cryptographique : dans un écosystème reposant sur la confiance numérique, il s’agit d’une compromission d’identité machine. Pour un CPO, ce type d’incident touche à l’intégrité des échanges et peut ouvrir la voie à des fraudes de recharge. 

Deux scénarios d’attaque doivent ici être distingués : 

  • L’extraction de la clé privée associée au certificat, à la suite d’une compromission logicielle ou d’une attaque physique sur un composant insuffisamment protégé,  
  • L’usurpation de l’identité d’une borne au moment de l’obtention d’un certificat, par exemple via un processus d’enrôlement insuffisamment authentifié entre la borne et le CPMS (Charge Point Management System).  

Figure 5 : chemins d’attaque pour obtenir un certificat V2G d’une borne 

Une fois en possession d’un certificat valide, un attaquant peut se faire passer pour une borne légitime et détourner la confiance de l’écosystème à son profit. Dans le cadre du Plug&Charge, cela peut permettre de faire croire à un véhicule qu’il établit une session normale, puis de relayer la preuve de possession du certificat de contrat de la victime sur une autre session afin de recharger un autre véhicule sur le compte de cette dernière. Ce scénario de relay attack a été démontré dans la littérature académique et illustre le fait qu’un simple certificat de borne compromis peut suffire à mettre en œuvre une fraude opérationnelle concrète.  

Figure 6 : Exploitation de la fraude par relai de la preuve de possession du certificat de contrat 

Cette attaque est facilitée dans les implémentations fondées sur ISO 15118-2, où la sécurité du Plug&Charge repose sur un modèle plus limité, notamment au regard de l’authentification de bout en bout et du traitement des certificats. À l’inverse, ISO 15118-20 renforce la sécurité des échanges, en particulier via l’usage généralisé de TLS et un modèle allant vers une authentification mutuelle, ce qui rend ce type de fraude plus difficile à exploiter, sans pour autant le faire disparaître si les identités machine ne sont pas correctement protégées.  

Ce risque est d’autant plus vraisemblable qu’il ne nécessite pas une compromission massive du parc : un seul certificat valide peut suffire. L’attaquant peut donc cibler la borne la moins bien protégée, ou tenter d’obtenir frauduleusement un certificat via un processus d’enrôlement ou un backend insuffisamment sécurisé. Pour le CPO, l’enjeu n’est donc pas seulement de protéger les certificats déjà déployés, mais de sécuriser l’ensemble de la chaîne d’émission, de stockage et de renouvellement des identités de bornes. 

Convictions  

Pour réduire le risque de compromission des clés privées, le CPO doit s’assurer que les bornes disposent de capacités de stockage sécurisé pour les éléments cryptographiques, par exemple via l’intégration d’un TPM (Trusted Platform Module). 

Le risque d’usurpation lors de l’obtention d’un certificat nécessite une approche différente. Le CPO doit en effet garantir l’authenticité des demandes d’émission de certificats traitées par la PKI V2G. La sécurisation de ce processus repose sur l’authentification de la borne lors de l’établissement du canal de communication avec le CPMS. En pratique, le protocole utilisé sur ce canal, OCPP, supporte l’authentification mutuelle par certificat (mTLS) depuis la version 2.0.1. La borne présente alors un certificat lui permettant de s’authentifier auprès du CPMS. Une fois la session établie, les demandes d’enrôlement de certificats (notamment ISO15118) sont ainsi authentifiées, réduisant significativement le risque d’usurpation. 

Cette architecture introduit toutefois un prérequis : le déploiement d’un certificat dédié à l’authentification de la borne sur le réseau du CPO. Ce certificat est distinct du certificat ISO 15118 utilisé dans le cadre du Plug&Charge, car il répond à un périmètre et à un usage différent. 

Il est donc nécessaire de mettre en place une PKI dédiée, opérée par le CPO, que l’on peut qualifier de PKI « Produit ». Cette dernière délivre les certificats utilisés pour sécuriser les communications OCPP. Les enjeux de gestion des certificats précédemment évoqués s’appliquent également à cette PKI. Le CPO doit ainsi mettre en place des capacités organisationnelles et techniques pour opérer cette infrastructure : gestion du cycle de vie des certificats, traitement des incidents, et montée en compétence des équipes. 

Nous aboutissons ainsi à une architecture cible dans laquelle chaque borne embarque plusieurs certificats issus de PKI distinctes, chacun jouant un rôle spécifique dans l’authentification sur des canaux de communication critiques pour la session de recharge (Figure 7). 

Figure 7 : architecture cible pour le déploiement du Plug&Charge  

 Synthèse des risques 

L’introduction du Plug&Charge et de la norme ISO 15118 transforme progressivement les infrastructures de recharge en une véritable chaîne de confiance numérique, où la disponibilité du service dépend désormais autant de la cybersécurité que du fonctionnement électrique des bornes. 

Les scénarios étudiés montrent que les principaux risques ne concernent pas uniquement la compromission technique d’un équipement isolé, mais des impacts plus larges sur : 

  • La continuité de service, 
  • La fraude à la recharge, 
  • La confiance des utilisateurs, 
  • Et, à terme, l’image de l’opérateur. 

Le tableau suivant synthétise les risques identifiés selon une approche inspirée d’EBIOS Risk Manager, reposant sur une évaluation : 

  • De la vraisemblance du scénario (échelle de 1 à 4), 
  • De sa gravité pour l’opérateur (échelle de 1 à 4),  
  • Puis du niveau de risque résultant.  

La gravité a été évaluée selon une approche macro, en considérant un CPO opérant des bornes accessibles au public, avec un impact maximal correspondant à une perte de confiance nationale. Elle dépend toutefois fortement du contexte (taille du parc, exposition, rôle de l’acteur) et doit être adaptée au cas par cas.  

Ref.​

Scénarios de risques

Vraisemblance​

Gravité​

Risque

R1 

Image sur l’image/financier causé par une perte de disponibilité des bornes de recharges à la suite d’une compromission de la PKI V2G

2​

4

Moyen

R2 

Impact sur l’image/financier causé par une perte de disponibilité des bornes de recharges à la suite de l’exploitation massive d’une vulnérabilité dans la communication ISO15118

2

Moyen

R3 

Impact sur l’image/financier lié à des fraudes causées par le vol de certificat

Faible

Tableau 1 : Synthèse des risques liés au Plug&Charge sur l’infrastructure de recharge 

Il convient toutefois de nuancer cette analyse : les scénarios présentés adoptent volontairement une vision prudente, voire pessimiste, de la vraisemblance. En pratique, ces attaques restent difficiles à mettre en œuvre. Elles nécessitent souvent des compétences techniques avancées, un accès physique ou logique spécifique, une connaissance fine de l’ISO 15118, ainsi qu’une capacité à exploiter ou détourner des mécanismes de confiance complexes. 

Ainsi, les risques présentés doivent être lus comme des scénarios plausibles à anticiper, davantage que comme des menaces aujourd’hui triviales ou massivement observées en exploitation. Leur niveau de risque « moyen » à « faible » reflète cet équilibre : une probabilité encore contenue, mais des impacts potentiellement significatifs en cas de passage à l’échelle. 

Conclusion 

Le Plug&Charge simplifie l’expérience de recharge, mais introduit une dépendance forte à une chaîne de confiance numérique reposant sur ISO 15118, la PKI V2G et les certificats de bornes. Cette dépendance introduit de nouveaux risques sur les bornes de recharges susceptibles d’entraîner des pertes de disponibilité et, à terme, une dégradation de la confiance des utilisateurs envers le CPO.  

Les scénarios d’attaques restent difficiles à mettre en œuvre mais leurs impacts potentiels justifient une anticipation dès la conception. Pour les CPO, l’enjeu n’est donc plus seulement de sécuriser les bornes, mais l’ensemble de la chaîne d’identité et de confiance qui permet à la recharge de fonctionner. 

Article précédent IA pour l’IAM : Une trajectoire pragmatique plutôt qu’une révolution

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top