L a wallbox connectee est devenue un equipement standard dans les maisons individuelles francaises equipes de vehicules electriques. Son connectivite Wi-Fi, qui permet la programmation horaire, le suivi de consommation et les mises a jour de firmware a distance, presente aussi un vecteur potentiel d attaque informatique. En 2021 et 2022, des chercheurs en securite ont documente des vulnerabilites sur plusieurs modeles de bornes IRVE publiques en Europe, rappelant que ces equipements, comme tout objet IoT connecte, peuvent etre la cible d attaques. Pour les proprietaires de maison individuelle, le niveau de risque est nettement inferieur a celui des bornes publiques, mais quelques bonnes pratiques simples permettent de reduire encore davantage la surface d attaque et de proteger le reseau domestique.
Cet article analyse les risques reels de securite informatique sur les wallboxes connectees en maison individuelle, les bonnes pratiques de configuration (reseau Wi-Fi, mot de passe, mise a jour firmware) et les fonctions de securite a activer des la mise en service. Il s adresse aux proprietaires de maison equipes ou souhaitant s equiper d une wallbox connectee et souhaitant comprendre les implications cybersecurite.
Pourquoi une wallbox connectee est un equipement informatique a securiser
Une wallbox connectee n est pas seulement un equipement electrique : c est un ordinateur embarque qui communique avec l exterieur. Elle est equipee d un microcontroleur, d un module Wi-Fi (et parfois Bluetooth ou Ethernet), d un systeme d exploitation minimal, d un firmware avec des fonctions de securite variables selon le fabricant, et est connectee a un serveur cloud du fabricant via Internet pour permettre la gestion a distance. Cette architecture est similaire a celle d un thermostat connecte, d une camera IP ou d un assistant vocal. Les risques associes sont les memes : acces non autorise via l application, interception des communications, utilisation comme point d entree vers le reseau local, ou perturbation du service. Le protocole OCPP (Open Charge Point Protocol), standard dans l industrie IRVE, gere la communication entre la borne et le serveur de gestion : sa configuration determine en grande partie le niveau de securite des echanges. L ANSSI (Agence nationale de la securite des systemes d information) recommande d appliquer aux equipements IoT residentiels les memes principes de securite qu aux autres equipements du reseau domestique. Consultez le devis Enerzy pour etre accompagne dans le choix d une borne avec de bonnes pratiques de securite integrees.
Les risques concrets sur une wallbox en maison individuelle
Le profil de risque d une wallbox en maison individuelle est different de celui d une borne publique ou professionnelle. Les attaques documentees par l ENISA (rapport 2022) concernent principalement des bornes publiques ou des reseaux de charge collectifs, ou l acces physique et la surface d attaque reseau sont bien plus importants. Pour une borne en maison individuelle, les risques concrets sont de trois types. Acces a l application de gestion : si le compte cloud de la borne (Wallbox account, MySchneider, Hager Connect, etc.) utilise un mot de passe faible ou identique au mot de passe par defaut, un attaquant peut acceder aux parametres de programmation de la borne. Le risque pratique est la modification de la programmation de charge ou la consultation de l historique de consommation. Compromission du reseau local : si la borne est sur le meme reseau Wi-Fi que les ordinateurs et smartphones, une vulnerability dans le firmware de la borne pourrait permettre a un attaquant d acceder au reseau local. Ce risque est limite si le firmware est a jour. Consommation non autorisee : theoriqueemnt, un attaquant ayant acces a la borne pourrait activer une session de charge depuis l exterieur (en usurpant un badge RFID ou en accedant au portail de gestion), engendrant une consommation electrique non souhaitee. En pratique, ce risque est marginal pour les installations residentielles.
Bonnes pratiques : mot de passe, compte cloud et RFID
La premiere ligne de defense d une wallbox connectee est la gestion des acces. Plusieurs points sont a verifier des la mise en service. Compte cloud du fabricant : lors de la creation du compte sur l application de la borne (Wallbox, Schneider, ABB, Hager, etc.), utilisez un mot de passe unique et fort (au moins 12 caracteres, combinant majuscules, minuscules, chiffres et caracteres speciaux) different de tout autre mot de passe utilise par ailleurs. Activez l authentification a deux facteurs (2FA) si elle est proposee par le fabricant. Interface web locale : certaines bornes proposent une interface de configuration accessible en local sur le reseau Wi-Fi (adresse IP de la borne). Verifiez que le mot de passe par defaut de cette interface a ete change. Gestion des badges RFID : si votre borne est equipee d un lecteur RFID, enregistrez uniquement les badges autorises et desactivez la fonction RFID si vous ne l utilisez pas. Les badges RFID ISO 14443 (Mifare Classic ou DESFire) sont plus difficiles a cloner que les cartes magnetiques. Un electricien RGE realise generalement la configuration initiale de securite lors de la mise en service de la borne.
Mises a jour firmware : pourquoi c est la mesure la plus efficace
La mise a jour reguliere du firmware de la wallbox est la mesure de securite la plus efficace et la plus simple pour maintenir un niveau de protection acceptable. Le firmware est le logiciel embarque dans le microcontroleur de la borne : il gere les communications, les protocols de charge, les interfaces utilisateur et les fonctions de securite. Les fabricants publient des mises a jour pour corriger les vulnerabilites connues, ameliorer la compatibilite avec les vehicules et ajouter des fonctionnalites. Sur les bornes connectees, les mises a jour peuvent etre automatiques (OTA, Over-The-Air) si l option est activee, ou manuelles via l application ou le portail fabricant. L ANSSI recommande de maintenir les equipements IoT a jour avec les derniers firmwares. En pratique, verifiez dans les parametres de l application de votre borne que les mises a jour automatiques sont activees. Si la borne ne propose pas de mises a jour automatiques, verifiez manuellement les disponibilites sur le site du fabricant tous les 2 a 3 mois. Un firmware obsolete est la principale cause de vulnerabilite sur les bornes de recharge residentielles selon les rapports ENISA 2022-2024.
Segmentation reseau : isoler la wallbox pour limiter les risques
La segmentation du reseau domestique est une mesure de securite efficace pour limiter l impact d une eventuelle compromission de la wallbox. Le principe est de connecter la borne sur un reseau Wi-Fi separe du reseau principal de la maison (ordinateurs, smartphones, NAS, serveur domotique). La plupart des box internet francaises (Freebox Delta/Ultra, Livebox 5/6, SFR Box 8, Bouygues Bbox) proposent la creation d un reseau invites ou d un second SSID Wi-Fi. Connecter la wallbox sur ce reseau invite la isole des equipements principaux : meme si la borne est compromise, l attaquant ne peut pas acceder directement aux ordinateurs ou aux donnees de la maison. Pour les utilisateurs plus avances, la creation d un VLAN (Virtual LAN) dedie aux equipements IoT (wallbox, cameras, domotique) via un routeur compatible (Synology, Ubiquiti, pfSense) offre une segmentation plus precise avec un firewall entre les segments. La connexion de la wallbox en Ethernet filaire (si le modele le supporte) est plus securisee et plus fiable que le Wi-Fi : elle eliminate les risques d interception Wi-Fi et est moins susceptible aux interferences.
Protocole OCPP et securite des communications vers le cloud
Le protocole OCPP (Open Charge Point Protocol) gere les communications entre la borne de recharge et le serveur de gestion du fabricant ou d un operateur. Il existe en version 1.6 et 2.0 (ou 2.0.1), avec deux modes de transport : OCPP-S (SOAP, protocole XML sur HTTP) et OCPP-J (JSON sur WebSocket). La version OCPP-J avec TLS (Transport Layer Security) est la plus securisee : les communications sont chiffrees de bout en bout entre la borne et le serveur, ce qui empeche leur interception. La version OCPP-S non chiffree ou OCPP-J sans TLS permet theoriqueemnt a un attaquant sur le reseau de voir les communications. Sur les bornes recentes du marche (Wallbox, Schneider, ABB, Legrand), OCPP-J avec TLS est configure par defaut. Pour les bornes d entree de gamme ou les modeles plus anciens, verifiez dans les parametres si TLS est active et si le certificat est valide. Si votre installateur configure la borne sur un reseau de gestion externe (operateur IRVE), demandez-lui de confirmer que la connexion OCPP utilise TLS. Consultez le devis Enerzy pour etre oriente vers des bornes avec de bonnes pratiques de securite integrees.
Passer a l action
Pour estimer precisement le cout total et la prime ADVENIR sur votre projet, utilisez le simulateur Loi LOM : calcul en 90 secondes, application automatique des baremes de l Arrete du 24 decembre 2025, breakdown reste a charge.
Pour comparer objectivement les 6 operateurs IRVE entreprise sur 27 criteres publics, utilisez le comparateur d operateurs : Driveco, ChargeGuru, ChargePoint, PowerDot, IZI by EDF, Beev.