Longtemps, voler une voiture nécessitait des outils, du temps et une présence physique. Cette époque s’efface rapidement. Aujourd’hui, une voiture moderne peut être piratée à distance, parfois sans que son propriétaire ne s’en rende compte. Entre logiciels embarqués, applications mobiles, mises à jour à distance et bornes de recharge connectées, la cybersécurité devient un enjeu central contre le vol… et les chiffres récents donnent franchement matière à s’inquiéter.
Oubliez le temps où la voiture n’était qu’un assemblage de pièces mécaniques avec un peu d’électronique. Une voiture récente ressemble de plus en plus à un ordinateur sur roues, connecté en continu à des serveurs, des smartphones et des infrastructures cloud. Ce virage débloque de nouveaux usages, mais il ouvre aussi la porte à une explosion des risques informatiques.
Horaires de départ, trajets du quotidien, lieux de stationnement, habitudes de recharge, historique GPS, profils conducteurs, connexions Bluetooth, smartphone synchronisé… Une voiture récente collecte une quantité considérable de données personnelles. Et ces informations ne restent pas forcément dans le véhicule : elles transitent souvent via des applications mobiles, des serveurs distants, des services télématiques ou des plateformes cloud opérées par les constructeurs et leurs fournisseurs.
Le souci est simple : plus la voiture se connecte, plus sa surface d’attaque grandit. Les autorités rappellent qu’un véhicule connecté doit désormais être vu comme un appareil relié à Internet, avec des vulnérabilités comparables à celles d’un ordinateur ou d’un smartphone.
Les chiffres communiqués par Upstream Security décrivent une hausse nette des incidents : 409 cas en 2024 contre 295 en 2023, soit +39%. La dynamique se poursuit avec 494 incidents documentés au début de 2025, et une part du ransomware qui monte à 44% des attaques.
Le volume n’est pas le seul problème : l’échelle des dégâts grimpe aussi. Depuis 2010, 60% des attaques recensées ont touché simultanément des millions de véhicules. Et les incidents de masse sont passés de 5% à 19% du total en un an.
Autre point marquant : 92% des attaques enregistrées en 2024 ont été menées à distance, sans que l’attaquant ait besoin de s’approcher du véhicule. En clair, la barrière géographique disparaît presque complètement.
Les véhicules définis par logiciel (SDV) concentrent une quantité massive de code : environ 100 millions de lignes, selon le rapport Reuters Events. Chaque interface connectée (Wi‑Fi, Bluetooth…) devient un point d’entrée potentiel.
Et le risque se complique avec un facteur très “auto” : la durée de vie. Une voiture peut rester en circulation 15 ans ou plus, alors que des protections logicielles peuvent devenir obsolètes en quelques mois.
Certains constructeurs se sont engagés à tenir à jour leur système multimédia pendant au moins 10 ans. Mais la question reste ouverte : est-ce suffisant ?
Dans tous les cas, les scénarios d’attaque se multiplient : mises à jour en ligne malveillantes, boîtiers télématiques compromis, ou encore bornes de recharge utilisées comme porte d’entrée vers du piratage.
Une affaire autour de Kia, en 2024, a illustré les risques des voitures connectées : une faille sur le portail client a été exploitée via une authentification API insuffisamment sécurisée. Résultat : accès indirect à des données de véhicules, avec la démonstration qu’il devenait possible d’envoyer certaines commandes à distance, comme désactiver des alarmes ou modifier la géolocalisation.
Des chercheurs ont aussi montré que, dans certains cas, une simple plaque d’immatriculation pouvait suffire pour exploiter des API mal sécurisées afin d’ouvrir des portes, démarrer un moteur ou modifier des données de propriété à distance.
Autre exemple d’impact lourd : Jaguar Land Rover a subi une attaque majeure qui a stoppé une partie de la production mondiale pendant six semaines, avec des pertes financières évaluées à près de 386 millions de dollars sur un trimestre. Une étude allemande publiée en mars 2026 indique que les dommages liés aux cyberattaques dans l’automobile ont dépassé 20 milliards de dollars en 2025, soit vingt fois plus qu’en 2022.
Les constructeurs ne sont plus forcément les principales cibles. Le cas le plus coûteux cité ne visait même pas directement les voitures : un ransomware visant un logiciel utilisé par 15 000 concessionnaires aux États-Unis a bloqué les opérations près de trois semaines, pour plus d’1 milliard de dollars de pertes estimées.
Au total, près de 57% des cyberattaques touchent désormais les équipementiers et fournisseurs, contre seulement 10% dirigées directement contre les marques automobiles. La logique est implacable : un constructeur travaille avec des centaines de fournisseurs, eux-mêmes dépendants de sous-traitants. Batteries, logiciels de navigation, systèmes de recharge, composants télématiques… tout transite par une chaîne complexe. Une faille chez un fournisseur peut alors contaminer plusieurs constructeurs en même temps.
Les autorités européennes surveillent particulièrement les infrastructures de recharge. Les bornes publiques et les systèmes domestiques connectés deviennent des points d’entrée possibles. Upstream Security considère même les réseaux de recharge comme l’une des surfaces d’attaque qui progressent le plus rapidement.
Les recommandations évoquées restent très concrètes : utiliser des bornes officielles, isoler la borne domestique du reste du réseau Internet de la maison, et éviter les équipements non certifiés.
L’Europe encadre le sujet avec le règlement UNECE R155, applicable aux véhicules neufs vendus depuis juillet 2024. Il impose des standards minimaux de cybersécurité capables d’identifier et de gérer plusieurs dizaines de menaces informatiques. Le règlement UNECE R156 complète le dispositif en imposant un système de gestion des mises à jour logicielles.
Sur le papier, cela structure mieux la protection sur tout le cycle de vie du véhicule. Mais le tempo reste un défi : les cybercriminels évoluent souvent plus vite que les régulateurs.
Sans transformer sa voiture en bunker, il existe des gestes connus qui réduisent déjà fortement les risques :
La voiture connectée a gagné en confort, en services et en mises à jour à distance, mais elle a aussi hérité des problèmes du monde numérique : bugs, failles, ransomwares et attaques à grande échelle. La bonne nouvelle, c’est que les règles se renforcent et que des gestes simples peuvent déjà faire la différence. La prochaine étape est claire : faire de la cybersécurité un réflexe aussi naturel que boucler sa ceinture, pour que l’innovation reste synonyme de confiance.
92% des attaques enregistrées en 2024 ont été menées à distance.
409 incidents ont été comptabilisés en 2024.
Une attaque majeure a stoppé une partie de la production mondiale pendant six semaines.
De l'achat, à la revente, au financement, en passant par les derniers projets de loi automobile, Voiture Malin est la référence de l'info automobile
