Notre compteur peut il être piraté ?
Aujourd’hui, le piratage informatique est devenu un élément important de notre vie quotidienne. Internet s’est répandu dans le monde entier et une grande partie de notre activité (vente/achat de produits) se fait par l’intermédiaire d’Internet. La protection des données est donc devenue un enjeu très important. Aussi, si Internet est devenu l’un des moyens les plus utilisés pour communiquer, échanger et réaliser des opérations commerciales, il est primordial de développer en parallèle de cette activité une recherche pour optimiser la sécurité de ces sites Internet et de ces objets connectés au réseau. Une question se pose : ces compteurs sont-ils vraiment sûrs ou au contraire peuvent-ils être piratés ? Est-il possible que des personnes puissent prendre le contrôle de nos compteurs et que peuvent-ils en faire ?
Le compteur Linky communique tout d’abord, par l’intermédiaire de courants porteurs en ligne, avec un concentrateur qui doit en quelque sorte récupérer toutes les données dans un voisinage donné. Par la suite, ce même concentrateur échange avec les serveurs du distributeur par l’intermédiaire des réseaux GPRS .
Illustration du mode de communication des compteurs intelligents Linky
C’est la deuxième voie de communication qui porte à controverse puisqu’elle peut être très facilement pénétrable. Néanmoins, concernant la sécurité de leur système de communication, ERDF semble plutôt confiant. On peut voir sur leur site :
Bon à savoir : Toutes les données de consommation sont cryptées dès la source. ERDF garantit ainsi la protection de ces informations personnelles qui sont la propriété du client.
Après le retour d’expérience dans légion lyonnaise, le chargé de la conduite expérimentale des compteurs Linky semblait balayer l’éventualité d’une intrusion d’un revers de main, estimant que les sécurités du système le mettaient à l’abri de tels risques :
Concernant le piratage, effectivement c’est un système informatique, et comme tout système informatique, il est soumis à des aléas, comme les systèmes actuels peuvent être soumis à des attaques. On utilise des systèmes de cryptage et de protection qui aujourd’hui nous permettent d’éviter tout piratage important en la matière. Et les systèmes d’exploitation qui sont en cours de développement répondront bien évidemment au même souci de protection de nos installations. (Extrait de cet article paru dans Techniques d’ingénieur)
Dans un souci d’amélioration de la protection des compteurs Linky, la CNIL avait mis en 2010 des recommandations quant aux moyens à mettre en œuvre pour garantir une sécurité optimale et un respect de la vie privée des utilisateurs. Selon elle, vu que les données sont stockées deux mois dans le compteur et sont transmises au serveur, il faut mettre en place un système de chiffrement à la fois dans le compteur et pour la transmission des informations au serveur. Actuellement, ERDF affirme qu’ils mettront en place un système de cryptage qui fera que les données des consommateurs seront protégées contre d’éventuelles attaques hostiles. Cependant, une spécialiste des compteurs intelligents nous a affirmé qu’aux Etats-Unis par exemple, il était très simple via une clé USB de récupérer les données de consommation des utilisateurs pour les utiliser afin de cambrioler une maison par exemple. Elle disait que les ports USB installés sur Linky étaient d’autant plus dangereux qu’une grande partie des compteurs est en dehors des habitations. De plus, des hackers allemands ont réussi à pirater un compteur d’origine allemande sans problème et avec une grande facilité. Cependant, avant le 12 janvier 2012 aucun compteur Linky n’avait été piraté.
Nous le savons tous, la plupart des grandes entreprises ne plaisantent pas avec la sécurité ; elles disposent de services dédiés à la protection de deux réseaux clés : le centre de données (les serveurs) et la bureautique (les postes de travail). Néanmoins, le troisième réseau (le réseau de contrôle) ne reçoit pas la même attention.
Ce troisième réseau, appelé réseau SCADA , relie des équipements plutôt que les ordinateurs et gère des systèmes plutôt que des personnes. Les réseaux SCADA sont les moins protégés de tous les réseaux et sont désormais la cible des cybercriminels. Les compteurs intelligents d’ERDF communiqueraient par ce réseau là, il est donc nécessaire de s’y intéresser et d’analyser sa sécurité. Pour mieux comprendre les enjeux derrière la protection des réseaux SCADA, nous vous conseillons de lire cet article paru sur Les Echos, qui explique très bien les risques et les solutions possibles à apporter.
Globalement, il est clair qu’un travail est à effectuer pour s’assurer de la sécurité des compteurs Linky. Deux spécialistes de l’université de Cambridge se sont intéressés de très près à la fiabilité des réseaux SCADA comme l’explique cet article publié dans Techniques d’Ingénieur (Supervisory Control And Data Acquisition) parmi lesquelles figurent les compteurs Linky et ils ont identifié sur 10 ans près de 38 000 problèmes de sécurité en analysant les archives d’audit. Aussi, il paraîtrait qu’aujourd’hui, la plupart des téléphones portables sont bien plus sécurisés que nos compteurs. En réalité, les réseaux et les dispositifs SCADA ont été conçus pour offrir une maniabilité et un contrôle avec un maximum de fiabilité. Ils n’ont cependant pas été conçus dans un souci de sécurité ni pour faire face aux menaces de sécurité en constante évolution provenant des réseaux externes ou internes qui sont répandues dans le monde informatiques. Pour Jonathan Pollet, spécialiste de la sécurité chez Red Tiger Security :
“Ce n’est qu’une question de temps : d’ici peu, nous assisterons à bien plus d’attaques ou d’incidents sur des réseaux SCADA du fait de l’absence de mesures de sécurité, ou de systèmes de défense mal configurés. Il faut nommer des responsables sécurité de ces systèmes. C’est une bombe à retardement.” (Extrait d‘un article publié sur InternetActu)
Ce problème est d’autant plus important que comme le souligne la CNIL :
Les compteurs communicants peuvent également agir directement sur l’installation électrique. Ils permettent notamment de modifier la puissance de l’abonnement, voire même de couper l’alimentation électrique à distance, via une interface web. Ces fonctionnalités devront être parfaitement sécurisées pour éviter toute utilisation frauduleuse.” (même article)
Ainsi, on se rend compte qu’il est techniquement possible de couper l’électricité d’une habitation à distance. Cela est d’autant plus préoccupant qu’à l’échelle mondiale on dénombrerait ainsi, à ce jour, quelque 250 projets de compteurs “intelligents », 49 millions d’ores et déjà installés, et 800 millions en préparation. A l’échelle nationale, le gouvernement prévoit de déployer d’ici 2020 plus de 30 millions de ces compteurs (un pour chaque foyer français). Mais que se passerait il si aucun foyer français n’avait accès à l’électricité pendant plusieurs jours voire plusieurs semaines ? Dans leur article, intitulé « Who controls the off switch ? « (qui contrôle le bouton off ?), Ross Anderson et Shailendra Fuloria les deux spécialistes de l’université de Cambridge s’alarment de la légèreté avec laquelle les fournisseurs d’électricité, avec l’aval des autorités, créent une “nouvelle cyber-vulnérabilité significative” faisant courir le risque de coupures massives d’électricité.
Enfin, pour mieux comprendre la menace qui pèse sur ces réseaux et les différentes manières qu’ont les entreprises pour protéger, il peut être très intéressant de parcourir le rapport rédigé par CheckPoint Software Technologies (leader dans le domaine de la protection des logiciels, des réseaux et des données) sur les réseaux SCADA.