Les compteurs d’électricité intelligents, dont plus de 100 m sont installés dans le monde, sont fréquemment « dangereusement incertains », a déclaré un expert en sécurité.
Le manque de sécurité dans les utilitaires intelligents soulève la perspective d’une seule ligne de code malveillant coupant l’alimentation d’une maison ou provoquant même une surcharge catastrophique entraînant des compteurs explosifs ou des incendies de maison, selon Netanel Rubin, co-fondateur de la société de sécurité Vaultra.
« Récupérez votre maison », a déclaré Rubin lors d’une conférence de hackers et d’experts en sécurité, « ou quelqu’un d’autre le fera. »
Si un pirate informatique prenait le contrôle d’un compteur intelligent, il serait en mesure de savoir « exactement quand et combien d’électricité vous utilisez », a déclaré Rubin au 33e Congrès Chaos Communications à Hambourg. Un attaquant pouvait également voir si une maison avait des appareils électroniques coûteux.
« Il peut faire de la fraude de facturation, en réglant votre facture à ce qu’il veut … Ce qui est effrayant, c’est si vous pensez au pouvoir qu’ils ont sur votre électricité. Il aura le pouvoir sur tous vos appareils intelligents connectés à l’électricité. Cela aura des conséquences plus graves: imaginez que vous vous soyez réveillé pour constater que vous aviez été volé par un cambrioleur qui n’avait pas à entrer par effraction.
« Mais même si vous n’avez pas d’appareils intelligents, vous êtes toujours à risque. Un attaquant qui contrôle le compteur contrôle également le logiciel du compteur, ce qui lui permet de le faire littéralement exploser. »
Rubin a déclaré que de nombreux avertissements n’étaient pas hypothétiques. En 2009, les compteurs intelligents portoricains ont été piratés en masse, ce qui a entraîné une fraude généralisée à la facturation, et en 2015, un incendie de maison en Ontario a été attribué à un compteur intelligent défectueux, bien que le piratage n’y soit pas impliqué.
Les problèmes au cœur de l’insécurité proviennent de protocoles obsolètes, de mises en œuvre timides et de principes de conception faibles. Alors que la sécurité physique des compteurs intelligents est forte – « croyez–moi, j’ai essayé » de pirater de cette façon, a déclaré Rubin – les protocoles sans fil que beaucoup d’entre eux utilisent sont problématiques.
Pour communiquer avec l’entreprise de services publics, la plupart des compteurs intelligents utilisent le GSM, la norme mobile 2G. Cela a une faiblesse assez bien connue selon laquelle un attaquant avec une fausse tour mobile peut amener les appareils à « passer » à la fausse version de la vraie tour, simplement en fournissant un signal fort. En GSM, les appareils doivent s’authentifier avec des tours, mais pas l’inverse, permettant au faux mât d’envoyer ses propres commandes au compteur.
Pire encore, a déclaré Rubin, tous les compteurs d’un utilitaire utilisaient les mêmes informations d’identification codées en dur. » Si un attaquant accède à un compteur, il y accède tous. C’est la seule clé pour les gouverner tous. »
À l’intérieur de la maison, les communications sont également rendues non sécurisées par des normes obsolètes et une mauvaise mise en œuvre. Presque tous les compteurs intelligents utilisent la norme Zigbee pour parler à d’autres appareils intelligents de la maison.
Zigbee, qui date de 2003, est une norme domotique populaire, utilisée pour tout contrôler, des ampoules aux climatiseurs. Mais il est si compliqué, en raison de la vaste gamme d’appareils pris en charge, qu’il est presque préférable de le considérer comme 15 normes différentes, que chacun des fournisseurs peut choisir de mettre en œuvre comme bon lui semble.
» Cette situation unique est si difficile à mettre en œuvre que les vendeurs choisissent réellement ce qu’ils veulent mettre en œuvre. Et quand ils choisissent ce qu’ils doivent supporter, ils sautent le plus souvent la sécurité « , a déclaré Rubin.
Les autres décisions de sécurité faibles prises par les fournisseurs comprennent:
- Clés de chiffrement dérivées de noms de périphériques courts (souvent à six caractères).
- Appariement des normes sans authentification requise, permettant à un attaquant de simplement demander au compteur intelligent de rejoindre le réseau et de recevoir des clés en retour.
- Informations d’identification codées en dur, permettant un accès administrateur avec des mots de passe aussi simples et devinables que le nom du fournisseur.
- Code simplifié pour fonctionner sur des appareils de faible puissance en sautant des vérifications importantes, ne permettant rien de plus qu’une longue communication pour planter l’appareil.
» Ces problèmes de sécurité ne vont pas disparaître « , a déclaré Rubin. « Au contraire, nous allons assister à une forte augmentation des tentatives de piratage. Pourtant, la plupart des services publics ne surveillent même pas leur réseau, et encore moins les compteurs intelligents. Les services publics doivent comprendre qu’avec un grand pouvoir vient une grande responsabilité. »
Les compteurs intelligents présentent des avantages, permettant aux services publics d’allouer plus efficacement la production d’énergie et permettant une micro-production qui peut stimuler l’utilisation des énergies renouvelables. Pour ces raisons et plus encore, l’Union européenne a pour objectif de remplacer 80% des compteurs par des compteurs intelligents d’ici 2020.
Un porte-parole du ministère des Affaires, de l’Énergie et de la Stratégie industrielle du gouvernement britannique a déclaré: « Des contrôles de sécurité robustes sont en place sur l’ensemble du système de comptage intelligent de bout en bout et tous les appareils doivent être évalués indépendamment par une organisation de sécurité experte, quel que soit leur pays d’origine. »
{{ topLeft}}
{{ En bas}}
{{ Haut DROIT}}
{{ Fond DROIT}}
{{/goalExceededMarkerPercentage}}
{{/ ticker}}
{{heading}}
{{#paragraphs}}
{{.}}
{{/paragraphes}} {{highlightedText}}
{{# choiceCards}}
{{/choiceCards}}
- Maisons intelligentes
- Piratage
- Compteurs intelligents
- actualités
- Partager sur Facebook
- Partager sur Twitter
- Partager par e-mail
- Partager sur LinkedIn
- Partager sur WhatsApp
- Partager sur Messenger
