Une partie de « Doom » sur une borne rapide : le piratage qui révèle des failles inquiétantes
Lors du concours Pwn2Own Automotive 2026 à Tokyo, un groupe de hackers finlandais a fait sensation : ils ont exploité une vulnérabilité dans le logiciel d’une borne de recharge rapide HYC50 du fabricant européen Alpitronic — fournisseur de réseaux comme Ionity — et ont réussi à lancer le jeu « Doom » sur l’écran de la station. Ce coup d’éclat apparemment ludique met en lumière une réalité beaucoup moins drôle : les bornes de recharge constituent un maillon critique de l’écosystème électrique et leur sécurité n’est pas encore totalement assurée.
Un hack volontaire et encadré — mais révélateur
Important : Alpitronic avait fourni la borne au concours volontairement, dans le cadre d’un programme de tests. Les équipes de sécurité ont donc pu tenter d’exploiter des failles dans un cadre contrôlé. Les auteurs du test, la team « Juurin Oy », ont reçu 20 000 dollars pour leur découverte. Selon Alpitronic, plusieurs attaques ont réussi pendant l’événement, et la vulnérabilité exploitée nécessitait des conditions particulières — accès physique à la borne et accès au web‑interface, ainsi qu’une fenêtre de mise à jour logicielle.
Ce que les pirates ont pu faire (et ce qui aurait pu mal tourner)
Les hackers ne se sont pas contentés d’afficher un jeu : d’après leur porte‑parole, ils avaient la « pleine » maîtrise de l’appareil. Ils auraient pu :
Ces scénarios montrent que la menace n’est pas seulement théorique : une borne compromise pourrait servir de vecteur d’attaque vers les véhicules, ou saboter la disponibilité d’un réseau de recharge entier en période critique.
Pourquoi ces systèmes restent vulnérables
Plusieurs facteurs expliquent la fragilité actuelle :
Alpitronic : posture responsable mais travail à poursuivre
Le fabricant soutient que sa participation au concours visait précisément à détecter et corriger ces failles avant qu’elles ne soient exploitées « dans la nature ». Il reconnaît que certaines attaques ont fonctionné dans le cadre du test, mais rappelle que les conditions requises pour le hack restreignent son exploitation en exploitation courante. Néanmoins, la déclaration du hacker indiquant qu’il aurait pu infecter des véhicules alimente les inquiétudes légitimes.
Conséquences pour les opérateurs et les constructeurs
Quel risque pour le conducteur et le véhicule ?
Le scénario le plus préoccupant concerne l’attaque d’un véhicule via la borne : un code malveillant transféré par câble ou via les protocoles de communication pourrait, en théorie, compromettre des modules embarqués si ceux‑ci manquent de protections. Les constructeurs doivent donc considérer la borne comme une interface potentiellement hostile et durcir la sécurité côté véhicule : vérifications d’intégrité logicielle, mises à jour signées et isolation des sous‑systèmes critiques.
La nécessité d’un cadre commun et d’une culture sécurité industrielle
La piste positive de ce type d’événement est qu’il favorise la coopération entre industriels et chercheurs en sécurité. Mais il faut aller plus loin : harmonisation des standards, exigence de tests de pénétration avant certification des matériels, et partage d’informations sur les vulnérabilités entre acteurs du secteur. Sans cela, le déploiement massif de bornes rapides risque de créer autant d’angles morts sécuritaires que d’avantages environnementaux.
Recommandations pratiques pour les gestionnaires de flotte et les usagers
Le cas « Doom sur borne » est un avertissement majeur : la mobilité électrique ne repose pas seulement sur batteries et puissance kilowatt, elle exige une maturité informatique et une gouvernance de la sécurité. Les bonnes pratiques existent, mais encore faut‑il qu’elles deviennent la règle pour protéger l’infrastructure critique de la transition énergétique.