Un pirate informatique néerlandais aurait pu désactiver 4 millions de systèmes d’énergie solaire dans 150 pays cet été en appuyant simplement sur un bouton. Selon un rapport publié le 12 août. Les Pays-Bas semblent particulièrement vulnérables à de telles attaques. Et qu’est-ce que cela signifie qu’une grande partie de ces systèmes soient contrôlés par des entreprises chinoises ?
Le « hacker éthique » Wietse Boonstra est assis derrière deux écrans dans son bureau. Le jour, il travaille comme chercheur en sécurité à la Judicial ICT Organization et la nuit, il recherche des fuites dans d'autres logiciels, comme celui de Kaseya. Cette société fabrique des logiciels permettant aux administrateurs système de gérer à distance les réseaux informatiques.
« Un anneau pour les gouverner tous »
Ces derniers mois, il a été captivé par les panneaux solaires. Ou mieux : des appareils qui connectent les panneaux solaires au réseau électrique, en l'occurrence ceux de l'américain Enphase.
Les panneaux solaires fournissent du courant continu, qui est converti en courant alternatif avant de pouvoir entrer dans le réseau. Cela nécessite un onduleur. Plusieurs panneaux solaires sont souvent connectés à un tel onduleur, mais avec les systèmes Enphase, chaque panneau solaire possède son propre micro-onduleur.
Chez Enphase, vous pouvez créer votre propre système. Vous pouvez ensuite le gérer cela via votre compte et vous pouvez également confier cette gestion à quelqu'un d'autre.
Boonstra a découvert une erreur dans le logiciel qui permettait à quelqu'un de devenir administrateur d'autres comptes. Pour tester cela, il a acheté deux systèmes chez Enphase et a créé deux comptes administrateur. Il s’est avéré que son premier compte pouvait également contrôler son deuxième compte, sans sa permission. « J'ai ensuite créé vingt autres comptes et je les ai tous contrôlés à partir du premier compte. »
Pour vraiment avoir une confirmation
Ce n'était pas tout. Avec son collègue Hidde Smit, Boonstra a également examiné le firmware – le système d'exploitation – des appareils Enphases. Si vous pouvez modifier ce micrologiciel, vous avez un contrôle total sur les appareils. Ils y ont trouvé six vulnérabilités .
Boonstra et Smit auraient pu écrire un algorithme capable d'infecter des millions de systèmes de panneaux solaires dans le monde avec des logiciels malveillants, puis de les laisser faire ce qu'ils voulaient.
Enphase a répondu étonnamment rapidement
Il est risqué pour les particuliers de signaler ce type de vulnérabilités directement à un fabricant américain. Boonstra a donc décidé de créer l'Institut néerlandais pour la divulgation des vulnérabilités (DIVD) pour l'activer.
Frank Breedijk, du DIVD, a été choqué lorsqu'il a vu le rapport de Boonstra. Il a immédiatement contacté Enphase, qui a reconnu la gravité de la vulnérabilité. L’entreprise a pu résoudre la vulnérabilité la plus importante en 24 heures : une expérience unique. L’entreprise s’est ensuite mise au travail pour résoudre également les autres problèmes.
Dans une réponse à « Follow the Money », Enphase ne nie pas que Boonstra pourrait devenir le gestionnaire de plusieurs systèmes Enphase. Mais l'entreprise insiste sur le fait qu'une attaque massive aurait échoué « parce que des contrôles et des avertissements » sont intégrés pour empêcher cela.
« Si de nombreux systèmes tombent en panne , cela déclenchera certainement quelque chose », explique Harm van den Brink, expert dans le domaine des bornes de recharge , où les mêmes problèmes se posent. « Mais la question est de savoir si vous pouvez faire quelque chose à ce sujet. »
Boonstra aurait également pu écrire son algorithme de manière à éteindre automatiquement les onduleurs. Ensuite, tout se passe si vite qu’il n’y a aucun moyen de l’arrêter.
Essayez de faire de même avec une installation solaire thermique à drainage qui possède un simple contrôleur et nécessite aucun contrôle à distance comme c’est le cas du PV et des onduleurs raccordés au réseau …..
Essayez de faire de même avec une installation solaire thermique à drainage qui possède un simple contrôleur et nécessite aucun contrôle à distance comme c’est le cas du PV et des onduleurs raccordés au réseau …..
Essayez de faire de même avec une installation solaire thermique à drainage qui possède un simple contrôleur et nécessite aucun contrôle à distance comme c’est le cas du PV et des onduleurs raccordés au réseau …..
Essayez de faire de même avec une installation solaire thermique à drainage qui possède un simple contrôleur et nécessite aucun contrôle à distance comme c’est le cas du PV et des onduleurs raccordés au réseau …..