Clear Sky Science
Des explications fondées sur des preuves, avec peu de jargon

Clear Sky Science · fr

Une approche de détection de logiciels malveillants IoT basée sur l’apprentissage profond pour les stations de recharge de véhicules électriques

· Retour à l’index

Pourquoi la sécurité de votre chargeur de voiture compte

Les véhicules électriques se connectent de plus en plus à des stations de recharge intelligentes remplies de petits appareils connectés à Internet. Ces dispositifs rendent la recharge plus rapide et plus efficace, mais ils ouvrent aussi de nouvelles voies aux pirates. Un logiciel malveillant infiltré dans un seul capteur ou contrôleur peut se propager, menaçant les réseaux électriques, les données personnelles et la disponibilité même de la recharge. Cet article présente une nouvelle méthode pour repérer ces logiciels malveillants cachés avant qu’ils n’atteignent les appareils à l’intérieur d’une station de recharge de véhicule électrique (VE).

Figure 1
Figure 1.

Risques cachés à l’intérieur des chargeurs intelligents

Les stations de recharge modernes pour VE reposent sur un écosystème d’appareils Internet des objets (IoT) — compteurs intelligents, capteurs de température, relais et contrôleurs — qui communiquent en permanence avec le cloud et entre eux. Si des attaquants implantent un logiciel malveillant sur l’un de ces composants, ils peuvent intercepter ou altérer des données, voler des informations de paiement, ou même manipuler les charges de recharge pour déstabiliser le réseau local. Des incidents réels dans le secteur de l’énergie montrent que des appareils industriels compromis peuvent déconnecter des turbines ou mettre en danger des installations nucléaires. À mesure que les réseaux de recharge s’étendent, détecter les logiciels malveillants dans les logiciels qui s’exécutent sur ces appareils variés devient une ligne de défense critique.

Pourquoi les défenses actuelles sont insuffisantes

Beaucoup de détecteurs de logiciels malveillants IoT existants n’examinent qu’un type de processeur, comme ARM ou MIPS, alors que les réseaux de recharge réels utilisent un mélange de matériels. D’autres méthodes s’appuient sur une tranche étroite d’informations, telle qu’un instantané visuel rapide d’un programme ou un simple comptage d’instructions. Certains systèmes tentent de combiner plusieurs indices mais le font de manière grossière — en collant des caractéristiques ensemble sans comprendre leurs relations ni lesquelles sont les plus pertinentes pour un échantillon donné. En conséquence, ils peuvent manquer des schémas d’attaque subtils ou échouer face à de nouveaux types d’appareils ou de familles de malwares.

Analyser les malwares sous trois angles

Les auteurs proposent une approche de détection statique, c’est‑à‑dire qu’elle inspecte les fichiers logiciels avant leur installation sur un appareil. D’abord, ils passent le code compilé pour différents types de processeurs dans un outil développé par l’État appelé Ghidra, qui traduit tout en un langage « intermédiaire » partagé. Cette étape élimine les particularités matérielles tout en préservant la logique du programme, permettant au même pipeline d’analyse de traiter des fichiers provenant d’architectures ARM, x86, MIPS et autres. À partir de chaque fichier, le système extrait ensuite trois vues complémentaires : une vue de forme globale, une vue statistique et une vue comportementale.

Dans la vue de forme globale, le fichier binaire brut est traité comme un long flux de nombres et converti en image en niveaux de gris, chaque pixel représentant un fragment de code. Un réseau de neurones convolutionnel parcourt cette image à la recherche de textures et de dispositions récurrentes qui diffèrent entre logiciels légitimes et familles de malwares. Dans la vue statistique, les instructions traduites sont découpées en courtes séquences dont les fréquences sont mesurées à l’aide d’une méthode empruntée à la recherche documentaire. Un réseau neuronal simple analyse ces motifs de fréquence pour repérer quels fragments d’instructions sont inhabituellement fréquents dans les programmes malveillants. Dans la vue comportementale, les séquences d’instructions répétitives ou peu informatives sont élaguées, et un réseau récurrent (LSTM) lit la séquence d’instructions restante comme une phrase, apprenant comment les opérations se succèdent dans le temps et révélant une logique malveillante plus profonde.

Figure 2
Figure 2.

Fusionner les indices avec une attention ciblée

Plutôt que d’empiler simplement ces trois jeux de caractéristiques côte à côte, les auteurs conçoivent un modèle de fusion qui les pondère et les affine activement. Un mécanisme d’attention multi‑tête, inspiré des progrès récents des modèles de langue, apprend quel flux de caractéristiques porte la preuve la plus significative pour chaque échantillon logiciel, ajustant leur influence à la volée. Une couche de convolution unidimensionnelle cherche ensuite dans la représentation fusionnée des motifs courts mais importants, tandis qu’un encodeur multi‑couches mélange et reshapes à plusieurs reprises l’information pour exposer des relations subtiles entre indices structurels, statistiques et comportementaux. La sortie finale est un score unique indiquant si le logiciel est probablement bénin ou malveillant, et à quelle famille de malwares il appartient.

Quel est le rendement de la nouvelle méthode

Pour tester leur système, les chercheurs assemblent un grand jeu de données public de programmes IoT tirés de deux référentiels de malwares largement utilisés, couvrant cinq grandes familles de processeurs courantes dans l’infrastructure VE. Ils comparent de nombreux réglages et combinaisons de caractéristiques, montrant que chacune des trois vues apporte une valeur unique — la suppression de l’une d’elles dégrade sensiblement les performances. Leur modèle complet à trois vues avec fusion par attention surpasse plusieurs approches à la pointe, y compris les systèmes basés uniquement sur des images et ceux basés sur des graphes. Sur toutes les architectures, la nouvelle méthode améliore une mesure clé d’équilibre de précision (le F1-score) d’environ 1,37 point de pourcentage et réduit le taux de logiciels bénins classés à tort comme malveillants.

Ce que cela change pour la recharge au quotidien

Pour les conducteurs, ce travail suggère un avenir où les logiciels qui tournent en coulisses dans les stations de recharge sont soumis à des contrôles beaucoup plus rigoureux. En examinant le code sous plusieurs angles et sur différents matériels, le système proposé peut détecter une plus grande variété de menaces avant qu’elles n’atteignent les dispositifs IoT connectés au réseau. Bien que la méthode actuelle se concentre sur des fichiers statiques et puisse éprouver des difficultés face à des malwares fortement obfusqués ou chiffrés, elle offre déjà aux opérateurs de services et de réseaux de recharge un outil centralisé puissant pour maintenir le côté numérique de la recharge VE aussi fiable que les câbles et transformateurs visibles dans la rue.

Citation: Xia, L., Chen, Y. & Han, L. A deep learning-based IoT malware detection approach for electric vehicle charging stations. Sci Rep 16, 10607 (2026). https://doi.org/10.1038/s41598-026-45220-x

Mots-clés: logiciel malveillant IoT, recharge de véhicules électriques, cybersécurité, détection par apprentissage profond, sécurité du réseau intelligent