Les routes australiennes sont le théâtre d'une augmentation rapide du nombre de bus construits par la Chine. Cette augmentation alimente de nouvelles préoccupations en matière de cybersécurité pour les transports publics et les flottes gouvernementales. Des tests européens ont déclenché l'alarme après qu'un opérateur de transport a découvert un accès à distance aux systèmes de contrôle d'un nouveau modèle Yutong. Les distributeurs australiens affirment que la plupart des mises à jour sont effectuées dans les centres d'entretien et que les autobus australiens ne disposent pas de commande à distance pour le freinage ou la direction. Le contraste entre les résultats des tests européens et la pratique australienne crée un vide politique pour les agences de transport, les sites de défense et les conseils locaux. Les experts avertissent que la télémétrie des véhicules connectés, les mises à jour des microprogrammes et les liens avec le cloud créent des surfaces d'attaque pour les acteurs étatiques et les groupes criminels. Transport Canberra a reçu 90 bus Yutong E12 dans le cadre d'un contrat de 2023, avec la première livraison en mai 2024. Yutong Australia fait état de plus de 1 500 livraisons depuis 2012 et d'un routage des données locales via AWS Sydney. Des fournisseurs tels que BYD, King Long, Higer, Foton, Changan, Geely, Zhongtong, Ankai et Sunlong fournissent désormais des pièces ou des véhicules entiers à l'Australie. Ce mélange de fournisseurs mondiaux complique les contrôles d'approvisionnement et la supervision technique. Les lecteurs trouveront des points techniques concrets, des options d'approvisionnement et des mesures politiques pour réduire l'exposition dans les réseaux de transport public.
Des bus chinois sur les routes australiennes : alerte à la cybersécurité
Des tests européens ont révélé un accès à distance aux systèmes de diagnostic et de mise à jour sur un nouveau modèle de bus Yutong. Les distributeurs australiens font état d'un ensemble de modèles différents et de procédures de mise à jour locales. Les experts en sécurité recommandent vivement d'évaluer les risques pour tout véhicule connecté utilisé à proximité de sites critiques.
- Principaux fournisseurs actifs en Australie : Yutong, BYD, King Long, Higer, Foton.
- Présence locale : concessionnaires et ateliers dans toutes les grandes villes, routage des données AWS à Sydney.
- Détails de la flotte : les contrats publics incluent la série E12 de Transport Canberra.
| Sujet | Statut australien | Implications en matière de sécurité |
|---|---|---|
| Livraisons de Yutong | Plus de 1 500 véhicules depuis 2012, 90 bus E12 commandés par Transport Canberra | Forte exposition de la flotte dans tous les États |
| Bus électriques à batterie | Environ 133 autobus urbains à plancher surbaissé, 12 autobus charters/autocars à batterie électrique | Le parc limité de véhicules électriques réduit la surface d'attaque, la croissance est probable |
| Pratique de la mise à jour à distance | La politique des distributeurs privilégie les mises à jour physiques dans les centres de service | Diminution du risque à distance lorsque la politique est respectée |
Les commentaires des experts mettent en évidence un problème systémique avec les véhicules connectés. L'accès aux microphones, aux caméras, au GPS et aux chemins de mise à jour des microprogrammes crée de multiples vecteurs. Les équipes de sécurité nationale doivent évaluer les flottes avant d'attribuer des marchés publics.
Résultats techniques et accès aux fournisseurs
Ruter a publié des résultats de tests montrant l'accès aux systèmes de contrôle d'un nouveau modèle Yutong. Le rapport met en garde contre le fait que les mises à jour et les diagnostics à distance pourraient modifier l'état du véhicule, y compris l'arrêt du moteur. Yutong Australia déclare que le modèle testé diffère des modèles de la flotte locale et affirme qu'il n'y a pas de contrôle à distance de l'accélération, de la direction ou du freinage dans les unités australiennes.
- Des liaisons télémétriques acheminent les données opérationnelles vers des points d'extrémité en nuage à Sydney.
- Les mises à jour des microprogrammes se font par l'intermédiaire des terminaux embarqués et des ateliers agréés.
- Les réclamations des fournisseurs portent notamment sur le respect des lois australiennes en matière de protection des données.
| Fournisseur | Empreinte australienne | Fonctionnalité signalée |
|---|---|---|
| Yutong | Concessionnaires et ateliers dans tout le pays, routage de données AWS Sydney | La capacité de transmission par voie hertzienne est présente, la pratique locale utilise des mises à jour physiques. |
| BYD | Présence croissante des VE dans les flottes et les ventes privées | Systèmes connectés dans les voitures et les bus |
| King Long, Higer, Foton | Importateurs et fournisseurs de pièces détachées | Diverses applications télématiques |
Il existe un risque technique lorsque les fabricants conservent des privilèges de mise à jour à distance. Dans le cas d'une utilisation gouvernementale, des contrôles stricts des fournisseurs et des passerelles sur site réduisent l'exposition.
Réponses politiques et risques pour les services publics
Le commentaire de l'ancien chef de file national en matière de cybercriminalité met l'accent sur le contrôle plutôt que sur l'origine. Les droits d'accès détenus par des entreprises domiciliées à l'étranger créent un risque juridique lorsque les autorités demandent des données ou influencent les opérations. Les ministères de la défense ont recours à une sécurité multicouche autour des bases, alors que les conseils locaux gèrent la plupart des dépôts d'autobus.
- Mesures immédiates à prendre par les agences : auditer les systèmes télématiques, appliquer des politiques de mise à jour physique, restreindre l'accès à distance des fournisseurs.
- Mesures de passation de marchés : inclure des clauses d'acheminement des données, exiger des centres de données locaux, exiger des audits de code par des tiers.
- Règles opérationnelles : limiter l'utilisation des véhicules du personnel sensible, isoler les segments critiques de la flotte des réseaux publics.
| Domaine politique | Contrôles recommandés | Résultats attendus |
|---|---|---|
| Marchés publics | Tests de sécurité obligatoires, clauses de localisation des données | Réduction de l'incertitude de la chaîne d'approvisionnement |
| Sécurité opérationnelle | Mises à jour des centres de services, réseaux segmentés | Réduction de la surface d'exploitation à distance |
| Règlement | Évaluations de la sécurité nationale avant la signature du contrat | Meilleure visibilité des risques avant le déploiement |
Des universitaires et d'anciens experts des forces de l'ordre soulignent les lacunes en matière de transparence de la télémétrie. Des informations claires sur la collecte des données, la fréquence, les destinations et les listes d'accès doivent figurer dans les contrats. Les agences devraient consulter des laboratoires de sécurité indépendants et exiger des autorisations de type FedRAMP pour les points d'extrémité dans le nuage, similaires à celles de l'Agence européenne pour la sécurité des réseaux et de l'information. Autorisation FedRAMP de Qualys l'approche.
Pour le contexte stratégique, les lecteurs trouveront des discussions connexes sur la sécurité du cloud et de l'IA dans le secteur des transports via l'analyse des éléments suivants. Tendances en matière de piratage de l'IA et l'ensemble des cybersécurité des infrastructures critiques débat.
Étude de cas sur la gestion des risques : Déploiement de l'E12 à Canberra
Transport Canberra a commandé 90 autobus Yutong E12, dont les premières unités arriveront en mai 2024. Le contrat comprend une assistance locale à la maintenance et l'accès aux ateliers. Les autorités ont appliqué des limites opérationnelles sur les types d'itinéraires pour les unités initiales afin de surveiller la télémétrie et le comportement du logiciel.
- Mise en place de la flotte : déployer d'abord les nouvelles unités sur les itinéraires à faible risque.
- Surveillance : enregistrement central dans un centre de données local pendant 90 jours après la livraison.
- Audit : inspection indépendante des microprogrammes avant leur déploiement à l'échelle de la flotte.
| Phase | Action | Métrique |
|---|---|---|
| Acceptation | Audit des microprogrammes et tests de référence | Zéro accès non autorisé |
| Pilote | Opérer sur des itinéraires à faible densité avec un suivi local | Stabilité de la télémétrie opérationnelle sur 90 jours |
| Échelle | Élargir les itinéraires après la dépollution | Rapports d'audit sans erreur pendant deux mois consécutifs |
L'approche progressive de Canberra est un modèle pour d'autres juridictions. Les agences parviennent à réduire les risques de manière mesurable grâce à un déploiement échelonné et à des exigences locales en matière d'audit.
Notre avis
Les autobus connectés offrent des avantages en termes de mobilité tout en introduisant de nouveaux risques cybernétiques. La flotte mixte de l'Australie, composée de produits Yutong, BYD, King Long, Higer, Foton, Changan, Geely, Zhongtong, Ankai et Sunlong, nécessite une approche nationale cohérente. Des clauses d'achat strictes, des audits techniques obligatoires et des contrôles locaux des données réduiront l'exposition du gouvernement et des services publics.
- Exiger une validation indépendante de la sécurité avant l'attribution du contrat.
- Appliquer les procédures de mise à jour sur place pour les flottes à haut risque.
- Exiger des journaux de données transparents et des points d'accès au nuage localisés.
| Mesure | Court terme | Long terme |
|---|---|---|
| Audits techniques | Examen indépendant des microprogrammes et des systèmes télématiques | Programme d'audit continu des fournisseurs |
| Gouvernance des données | Acheminer les données télémétriques vers les centres de données locaux | Cadres juridiques pour l'accès transfrontalier |
| Règles opérationnelles | Mises à jour par le centre de service uniquement pour les flottes sensibles | Pipelines de mise à jour certifiés et sécurisés pour toutes les flottes |
Les agences et les opérateurs de flotte devraient examiner les meilleures pratiques des programmes de sécurité nationaux et internationaux. Les ressources relatives à la formation de la main-d'œuvre et à l'échange d'informations contribuent à renforcer la résilience. Formation à la cybersécurité NIST et le loi sur le partage d'informations en matière de cybersécurité. Pour connaître les mesures individuelles à prendre pour protéger les systèmes et le personnel, voir les conseils sur la façon de protéger votre vie numérique. Les décisions finales en matière de passation de marchés doivent associer des contrôles techniques à des garanties juridiques et prévoir une vérification indépendante avant que les flottes ne pénètrent dans des environnements sensibles.