Virus informatiques, usurpations d’identité, hameçonnages, atteintes à la vie privée ou à la réputation, diffamations, vols de données, espionnage industriel ou politique, pédopornographie… le « piratage informatique« , improprement qualifié de « cybercriminalité » (la majeure partie du temps, il s’agit plutôt de délinquance) attise les peurs des gens. Mais une nouvelle menace, aux conséquences bien plus dommageables, a commencé cet été à faire du bruit dans le Landerneau de la sécurité informatique : qu’adviendrait-il, en effet, si des millions, voire des dizaines de millions de foyers, étaient privés d’électricité plusieurs jours, voire plusieurs semaines durant ?

« Du point de vue de l’attaquant -gouvernement hostile, organisation terroriste ou de protection de l’environnement-, le meilleur moyen de s’attaquer à un pays est de lui couper l’électricité. C’est l’équivalent, cyber, d’une attaque nucléaire : quand il n’y a plus d’électricité, tout s’arrête. »

Le scénario n’émane pas d’un roman de science-fiction, mais d’un professeur de Cambridge, Ross Anderson, l’un des experts les plus réputés en terme de sécurité informatique, et de Shailendra Fuloria, l’un de ses étudiants, spécialiste des systèmes SCADA (pour supervision, contrôle et acquisition des données).

Les systèmes de télégestion ne sont pas sûrs !

Créés pour permettre le contrôle à distance et la surveillance de processus industriels, la télégestion de systèmes d’approvisionnement, de transport et les canalisations de produits chimiques, de gaz, de pétrole, d’eau et d’électricité, les systèmes SCADA sont souvent perçus par les spécialistes de la sécurité informatique comme un maillon faible qu’auraient beau jeu d’exploiter des cyberterroristes, pirates informatiques ou hackers militaires.

En 2007, le projet Aurora avait ainsi démontré la possibilité de pirater le système SCADA d’un générateur électrique afin d’entraîner son autodestruction. Or, et comme le souligne l’un des experts interrogés dans ce documentaire de CBS, ces générateurs coûtent très cher, ils ne sont plus fabriqués aux Etats-Unis, et il faudrait des mois pour s’en procurer d’autres ou les réparer, ce qui aurait des conséquences non seulement économiques, mais également politiques :

En 2008, le Club de la Sécurité de l’Information Français (CLUSIF) évoquait, dans une étude sur les Enjeux de sécurité des infrastructures SCADA (.pdf), plusieurs explosions dans des usines chimiques, le fait que des sites nucléaires, guichets automatiques bancaires, systèmes de signalisation ferroviaire avaient été perturbés par des vers informatiques, entraînant, dans un cas, l’arrêt de 13 usines d’assemblage de véhicules, dans un autre l’arrêt d’une station nucléaire. La présentation évoquait également plusieurs actes de malveillance ayant perturbé des feux de signalisation, systèmes d’approvisionnement en eau, et même la prise de contrôle et le déraillement, par un adolescent, de 4 wagons.

Dans une intervention intitulée Electricity for Free ? (.pdf) présentée lors du dernier Black Hat (l’un des symposiums les plus réputés en matière de sécurité informatique), en juillet dernier, Jonathan Pollet, spécialiste de la sécurité SCADA chez Red Tiger Security, a expliqué avoir identifié 38 000 problèmes de sécurité, lors de 100 audits, effectués sur 10 ans.

Alors que la « durée de vie » (c’est-à-dire le temps avant qu’il ne soit infecté ou compromis) d’un ordinateur non protégé est estimée à 4 minutes, pour Jonathan Pollet, « les systèmes SCADA sont bien moins sécurisés que les systèmes informatiques« .

Au cours de ses audits, il a ainsi trouvé, sur des ordinateurs reliés à des systèmes SCADA, toute sorte de programmes qui n’avaient rien à y faire, mais qui pouvaient a contrario servir de vecteur ou de relais d’attaques : logiciels P2P ou de messagerie instantanée, scripts de téléchargement de vidéos pornographiques, et même des chevaux de Troie et autres « malwares« .

« Ce n’est qu’une question de temps : d’ici peu, nous assisterons à bien plus d’attaques ou d’incidents sur des réseaux SCADA du fait de l’absence de mesures de sécurité, ou de systèmes de défense mal configurés. Il faut nommer des responsables sécurité de ces systèmes. C’est une bombe à retardement. »

Découvert en juillet dernier, le vers Stuxnet serait le premier virus expressément créé pour infecter les systèmes SCADA. 60 % des systèmes infectés auraient été situés en Iran. Pour Raphaël Marichez, de la société de sécurité HSC, Stuxnet constituerait « un tournant« , ouvrant la voie à « des virus exploitant des vulnérabilités « grand public », avec la complicité de grandes firmes étrangères, pour cibler un système industriel précis« .

A défaut de connaître son auteur, et donc savoir s’il s’agit bel et bien d’une tentative d’espionnage industriel, voire d’espionnage tout court, on notera que, toujours cet été, un rapport du ministère de l’énergie américain constatait que les infrastructures énergétiques américaines étaient vulnérables à des attaques informatiques, faute d’effectuer correctement les mesures basiques de sécurité censées les protéger, ou encore parce qu’elles sont reliées à l’internet, utilisent des systèmes d’exploitation grands publics, et des ordinateurs improprement sécurisés.

Stuxnet exploitait ainsi une faille Windows, et se propageait via des clefs USB préalablement contaminées (via l’internet, ou sciemment), dès lors qu’elles étaient connectées au PC, même si celui était pourtant à jour en terme de correctifs de sécurité. En 2009, la Marine nationale française avait ainsi dû couper son réseau après avoir été contaminée par un virus, introduit via une clef USB dans son système Windows, pourtant déconnecté du Net.

L’invasion des compteurs électr(ON)iques

Ross Anderson et Shailendra Fuloria ne s’intéressent pas tant aux systèmes SCADA, mais à ces compteurs « intelligents«  (les guillemets sont de rigueur, lorsque l’on commence à doter d' »intelligence » des boîtiers électroniques), censés permettre d’effectuer des économies d’énergie et dont le développement est activement soutenu, outre-Atlantique, dans le cadre du plan de relance américain (qui y investit 3,4 milliards de dollars), et en Europe par une directive européenne de 2009, qui prévoit d’en équiper 80 % des foyers à l’horizon 2020.

On dénombrerait ainsi, à ce jour, quelque 250 projets de compteurs « intelligents« , 49 millions d’ores et déjà installés, et 800 millions en préparation, d’après la carte des expérimentations (triangles) et projets (ronds) de compteurs « intelligents » électriques (en rouge), de gaz (en vert) et d’eau (en bleu) dressée par meterpedia.com :

Consultez la Smart Metering Projects Map sur une plus grande carte

Or, ces compteurs « intelligents » commencent aussi à défrayer la chronique. Début août, la CNIL s’inquiétait ainsi des risques qu’ils faisaient poser en terme de traçabilité des usagers :

« Les informations de consommation d’énergie transmises par les compteurs sont très détaillées et permettent de savoir beaucoup de choses sur les occupants d’une habitation, comme leur horaire de réveil, le moment où ils prennent une douche ou bien quand ils utilisent certains appareils (four, bouilloire, toaster…)

Les compteurs communicants peuvent également agir directement sur l’installation électrique. Ils permettent notamment de modifier la puissance de l’abonnement, voire même de couper l’alimentation électrique à distance, via une interface web. Ces fonctionnalités devront être parfaitement sécurisées pour éviter toute utilisation frauduleuse. »

Dans une étude (.pdf) sur la sécurisation du Smart Grid (ou « réseau intelligent« , le système auquel se connecteront ces compteurs « intelligents« ), la société IO Active identifie ainsi 10 risques en terme d’atteintes à la vie privée, à commencer par la surveillance, en temps réel des appareils électriques, et donc des habitudes comportementales de leurs utilisateurs, mais également les risques d’usurpation d’identité, de surveillance, d’espionnage, de malveillance ou encore de bug informatique, et autres problèmes de sécurité inhérents à tout système informatique en réseau.

Début septembre, plusieurs associations de défense des consommateurs critiquaient de leur côté la précipitation, qualifiée de « passage en force (et de) fuite en avant« , avec laquelle le gouvernement avait décidé de généraliser le déploiement de Linky, le projet français, dont l’expérimentation devait durer jusqu’au 31 mars 2011, mais qui cumuleraient problèmes et erreurs, factures illisibles et parfois astronomiques (jusqu’à 3 voire 4000 euros, au lieu de 25 à 30, selon la Confédération Nationale du logement de Lyon, interrogée par le 7/9 de France Inter ce 10 septembre) :

« Le planning de pose dérape, les compteurs disjonctent un peu trop facilement et la transmission des données ne se fait pas. Comment réaliser un bilan complet au 31 décembre 2010, c’est-à-dire trois mois plus tôt que prévu, avant la pose de l’ensemble des compteurs expérimentaux et sans même les tester pendant la période hivernale ? »

Elles critiquent également le coût du compteur, estimé entre 120 et 240 euros, qui sera facturé aux usagers (à raison d’un ou deux euros par mois, sur 10 ans), et qui aurait été « pensé par et pour le distributeur ERDF et pas du tout au bénéfice du consommateur« , qui devra, en plus, acheter un second boîtier s’il veut pouvoir mesurer, voire contrôler, sa consommation électrique :

« Au final, les avantages du compteur sont avant tout pour le distributeur ERDF et pour les fournisseurs, qui vont ainsi pouvoir proposer des services payants au consommateur pour suivre sa consommation électrique et de nouvelles offres tarifaires. »

En réponse, ERDF, la filiale d’EDF en charge de Linky, rétorque que cela permettra d’identifier plus rapidement les problèmes, d’en régler une bonne partie à distance, et donc plus rapidement, que cela permettra aux clients de faire des économies en modulant le tarif, que 93 % des clients s’en déclarent « satisfaits« , et que « toutes les informations clients sont strictement confidentielles et cryptées« .

Mais qui contrôlera le bouton OFF ?

Dans leur article, intitulé « Who controls the off switch ? » (.pdf) (qui contrôle le bouton off ?), Ross Anderson et Shailendra Fuloria s’alarment de la légèreté avec laquelle les fournisseurs d’électricité, avec l’aval des autorités, créent une « nouvelle cyber-vulnérabilité significative » faisant courir le risque de coupures massives d’électricité.

Les compteurs « intelligents » sont en effet dotés de composants matériels et logiciels, et donc potentiellement piratables, ou sujets à des bugs informatiques, d’autant qu’ils sont connectés aux fournisseurs d’électricité. L’objectif est de permettre à ces derniers de surveiller, en temps quasi réel, la consommation électrique, mais également de pouvoir modifier, à distance, l’intensité de l’électricité lors de pics de consommation, ou encore de couper le courant à ceux qui n’honorent pas leurs factures – ce qui, avec les compteurs manuels, réclamait jusque-là le déplacement d’un électricien.

A terme, le tarif sera ainsi modulé, plusieurs fois dans la journée, et les opérateurs proposeront aux abonnés la possibilité de gérer eux-mêmes leur consommation d’électricité, se réservant le droit de leur couper le courant, ou de le diminuer, en cas de pic de consommation.

Au Japon, où la variation des prix est d’ores et déjà envoyée aux consommateurs trois fois par jour, de plus en plus de gens investissent ainsi dans des batteries, qu’ils rechargent la nuit quand le prix de l’électricité est bas, et qu’ils utilisent en journée en lieu et place de leur abonnement à l’électricité. Les deux chercheurs estiment que ce type d’arbitrages ne pourra qu’inciter les clients à tricher, et pirater leurs compteurs « intelligents« …

De son côté, la Grande-Bretagne a décidé de centraliser la totalité des données renvoyées par les compteurs, avant de les renvoyer vers les opérateurs. Les autorités espèrent ainsi pouvoir être plus à même de contrôler, voire modifier, la consommation électrique britannique.

Pour Ross Anderson et Shailendra Fuloria, qui notent que les équipes techniques des vendeurs de compteurs, tout comme les experts de l’académie royale des ingénieurs, ont soigneusement été écartés des réunions de préparation de ce projet, cette centralisation des remontées des informations est un « scénario cauchemardesque« . L’existence même d’un système centralisé de contrôle de l’électricité ouvre en effet la possibilité d’une coupure généralisée de courant, dans tout le pays, en cas de bug ou de piratage informatique… :

« Le black-out s’étend sur des centaines de millions de foyers, certains pendant plusieurs jours, d’autres pendant plusieurs semaines ; des gens meurent d’hypothermie, du fait de la panne des équipements médicaux électriques, ou d’électrocution en tentant de réparer eux-mêmes la panne électrique.

Le modèle économique de l’industrie énergétique est ruiné par la destruction de son « réseau intelligent« , et le remplacement des dizaines de millions de compteurs « intelligents » prendra des années. L’activité économique est perturbée, les responsables des opérateurs d’électricité sont renvoyés, des ministres doivent démissionner. »

Les deux chercheurs soulignent que plusieurs pays se sont dotés d’unités de guerre informatique offensive, et que l’armée américaine a déjà utilisé la coupure d’électricité, en Irak et en Serbie. Ils rappellent également qu’en 1996, l’IRA avait tenté de faire exploser les transformateurs de trois centrales électriques londoniennes, ce qui aurait eu pour effet de couper le courant à des millions de particuliers et d’entreprises pendant des mois. L’attentat avait pu être déjoué parce que la cellule de l’IRA avait été infiltrée par les services anti-terroristes britanniques. Si l’attentat avait eu lieu, il aurait entraîné des pertes estimées au tiers du produit intérieur brut du pays…

Des pirates informatiques, ou des employés mécontents, pourraient également profiter de ces vulnérabilités afin de faire chanter les opérateurs d’énergie, ou encore pour voler de l’électricité. Interrogé par CNet, Karsten Nohl, un autre chercheur connu pour avoir révéler plusieurs failles de sécurité en matière de RFiD et de téléphonie mobile, explique que « d’un point de vue matériel, les téléphones portables sont aujourd’hui bien plus sécurisés que la plupart des compteurs intelligents, (alors) qu’ils devraient bénéficier des meilleurs systèmes de protection disponibles« , ce qui semble loin d’être le cas dans celui qu’il a inspecté :

« Nous n’avons trouvé aucune des mesures de sécurité que nous serions en droit d’espérer dans un dispositif de ce type, relié à une telle infrastructure critique. »

Faute de signature électronique, de mesures de chiffrement ou d’authentification, les composants physiques étudiés n’étaient pas protégés, il était donc possible de les modifier, tout comme il était possible de modifier la consommation (pour la baisser de 25 kilowatts à 2,5 kW, par exemple), alors que le logiciel, lui, propriétaire, empêchait toute vérification de la qualité et de l’intégrité du code… ce qui n’a pas empêché Nohl de parvenir à faire planter, ou redémarrer, le « compteur intelligent« . Or, et dans la mesure où ils sont reliés en réseau, en cas de bug ou de piratage, ils pourraient entraîner des coupures en réseau, et le piratage d’un seul compteur pourrait entraîner la paralysie de tout ou partie du réseau.

Une série de vidéos présentées en 2009 par IOActive montre ainsi comment un virus informatique, couplé à une base de donnée d’adresses géolocalisées, pourrait, en 24h, couper l’électricité dans tout un quartier :

Or, la rapidité avec laquelle sont déployés ces « réseaux intelligents« , et les milliards de dollars qui y sont investis, font que les questions de sécurité passeraient souvent au second plan, d’autant qu’aucun standard international n’a encore été adopté, afin de les sécuriser.

Qualifiant la sécurité de cinquième roue du carrosse, Christophe Auffray, sur ZDNet, note également que si les technologies existent, elles ont un coût, qui attise les rivalités et tensions : « la sécurité de ces réseaux communicants représente un marché à fort potentiel pour les industriels, et chacun défend, notamment au niveau des autorités européennes, ses propositions et intérêts. »

Dans un autre article, « On the security economics of electricity metering » (.pdf), publié dans la foulée, Ross Anderson et Shailendra Fuloria émettent cinq recommandations afin d’éviter les conflits d’intérêts entre les opérateurs, d’éviter de voir s’affronter les Etats (qui cherchent à économiser l’électricité) et les entreprises privées (qui cherchent à maximiser leurs profits), d’éviter également que des détenteurs de brevets ne se servent sur la bête, et, in fine, de réguler le « complexe système sociotechnique » qui voit le jour et qui associe, dans un « réseau intelligent« , producteurs, fournisseurs et distributeurs d’électricité, régulateurs, vendeurs, sous-traitants, et leurs clients :

• les données devraient appartenir aux clients qui, seraient tenus de partager avec les opérateurs celles qui leur permettront d’effectuer leurs missions de régulation de la consommation, et de facturation, dans les limites du respect de la vie privée des utilisateurs ;
• plutôt qu’un système centralisé de collecte des données, il faudrait privilégier un cadre d’échange et d’interopérabilité des données basés sur des standards « ouverts« , et non-propriétaires ;
• les distributeurs devraient être tenus de nettoyer les données ;
• l’audit de la consommation énergétique d’un client ne devrait pouvoir être effectué que par le distributeur d’électricité -et ledit client ;
• plutôt que d’espérer pouvoir couper le courant à tels ou tels foyers, et afin d’éviter les risques posés par la centralisation des données, seules les compagnies énergétiques devraient être habilitées à moduler la consommation de leurs clients ;
• au vu de sa complexité, et des enjeux politiques et économiques associés, le « réseau intelligent » devrait être placé sous la férule d’une autorité indépendante à même de défendre les intérêts des consommateurs et d’assurer l’intégrité et la sécurité du système.

Ces questions sont d’autant plus d’actualité que l’on commence aussi à voir apparaître de véritables mouvements d’opposition à ces compteurs « intelligents« , qui dénoncent tout à trac leur impact environnemental et sanitaire, les effets en terme d’ondes électromagnétiques et de radiofréquence, l’augmentation du prix de l’électricité, le gaspillage d’argent public, la façon non-démocratique avec laquelle ils sont déployés, cette intrusion de technologies de contrôle et de surveillance dans nos logis… En attendant de savoir comment les autorités, ainsi que les opérateurs, répondront à toutes ces questions, le compte à rebours a commencé.

Jean-Marc Manach