Horus : une cyberattaque contre les panneaux solaires qui plongerait l’Europe dans le noir

Un chercheur néerlandais met en évidence les vulnérabilités des installations photo-voltaïques. Et le potentiel de déstabilisation du réseau électrique européen que laissent entrevoir ces failles.

Les panneaux solaires sont des objets connectés aussi mal sécurisés que les autres. C’est en tout cas ce que semble indiquer un chercheur en sécurité néerlandais, Willem Westerhof. Ce dernier a découvert plusieurs failles dans les onduleurs des panneaux solaires, dispositifs permettant de transformer le courant continu en courant alternatif. Découvertes fin 2016 durant la thèse de ce chercheur, ces failles, qui permettraient de mettre en œuvre en œuvre un scénario d’attaque coordonné sur les équipements, scénario que le chercheur a baptisé Horus, sont aujourd’hui dévoilées au public, après une période qui a permis d’informer le constructeur concerné.

La cyberattaque Horus « recrée l’impact d’une éclipse solaire sur la stabilité du réseau électrique, d’où la référence à l’ancien dieu », détaille le site consacré à cette menace, mis en place par la société ITsec. La cyberattaque Horus agit sur la fourniture d’énergie des panneaux solaire et pourrait, selon le chercheur, mettre en péril la stabilité globale du réseau électrique européen, en raison de l’échelle sur laquelle elle pourrait être menée. Or, de plus en plus d’installations photo-voltaïques sont connectées à Internet et les failles découvertes par Willem Westerhof permettent de les affecter à distance. « En Europe, plus de 90 GigaWatts de puissance photo-voltaïque sont installés, un attaquant capable de contrôler le flux d’un grand nombre de ces périphériques pourrait donc provoquer des pics ou des creux de plusieurs GigaWatts provoquant des problèmes d’équilibrage massifs susceptibles de provoquer des pannes de courant à grande échelle », écrit ITsec. 

Plusieurs failles critiques 

Si Willem Westerhof montre qu’une brutale attaque sur ces dispositifs serait de nature à causer des fluctuations telles dans la production électrique que des pannes de courant seraient inévitables, il met aussi très concrètement en évidence les faiblesses des onduleurs de SMA, la marque leader sur ce créneau. Sur ces appareils, 17 failles ont été mises au jour. Dont certaines de niveau critique, permettant de prendre en main l’appareil à distance et donc, par exemple, de stopper le flux d’électricité. « Non seulement il était possible de hacker l’appareil et de contrôler le flux d’énergie, mais il y avait plusieurs façons d’y parvenir », peste le site HorusScenario.

Les onduleurs en question contrôlent environ 17 Gigawatts d’énergie, mais les chercheurs d’ITsec estiment qu’il n’y a aucune raison de penser que d’autres marques sont mieux sécurisées. D’autant que les installations photovoltaïques ne sont pas soumises aux normes qui s’appliquent habituellement à la sécurité des équipements électriques (y compris sur le volet cyber). « Un assaillant intelligent et motivé pourrait ainsi compromettre de larges parts des réseaux électriques continentaux », concluent les chercheurs d’ITsec. Et mettre en branle une réaction en chaîne aux conséquences dévastatrices. Le site Horusscenario estime qu’une panne de 3 heures à l’échelle de l’Europe coûterait environ 4,5 milliards d’euros. 

En 2006 déjà… 

Nos confrères de Volkskrant, les premiers à parler des résultats des recherches de Willem Westerhof, rappellent qu’en 2006, de grandes parties de l’Europe avaient été privées d’électricité après qu’une ligne à haute tension en Allemagne a été déconnectée, privant le réseau de 5 Gigawatts. Des villes comme Paris et Madrid ont passé des heures sans électricité à cause de cet incident. Un rappel salutaire des interdépendances du réseau électrique européen qui donne corps au scénario Horus.

A lire aussi :

Gare, portes de prison et pipeline à la merci d’un bug des serveurs IoT

Comment transformer l’enceinte Amazon Echo en espion

Sécurité et IoT : pourquoi le pire est encore à venir

Photo : VisualHunt