La face obscure des onduleurs de panneaux solaires
Des chercheurs américains ont découvert des vulnérabilités dans les onduleurs et les services cloud utilisés pour les systèmes d’énergie solaire résidentiels. Ces onduleurs pourraient être compromis et utilisés pour lancer l’équivalent d’une attaque par déni de service distribué (DDoS) visant à mettre hors service un réseau électrique national.
L’énergie solaire devient rapidement un élément essentiel des réseaux électriques dans le monde entier, en particulier aux États-Unis et en Europe, comme le montre le rapport publié cette semaine par l’IRENA. Cependant, la cybersécurité de ces systèmes est souvent négligée, ce qui crée un risque croissant pour la sécurité, la stabilité et la disponibilité du réseau.
La recherche SUN:DOWN menée par Forescout Vedere Labs en Californie a analysé différentes implémentations de systèmes d’énergie solaire et a trouvé 46 vulnérabilités qui ont depuis été corrigées. Bien que chaque système solaire résidentiel produise une puissance limitée, leur production combinée atteint des dizaines de gigawatts, ce qui rend l’impact collectif sur la cybersécurité et la fiabilité du réseau trop important pour être ignoré.
L’équipe a analysé six des dix principaux fournisseurs de systèmes d’énergie solaire dans le monde : Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe et SMA. Ils ont découvert les 46 nouvelles vulnérabilités affectant différents composants chez trois fournisseurs : Sungrow, Growatt et SMA.
Ces vulnérabilités sont accompagnées de scénarios réalistes d’attaque du réseau électrique qui pourraient être exécutés et provoquer des situations d’urgence ou des coupures d’électricité, et le rapport cite les réseaux européens comme exemple.
L’équipe a répertorié 93 vulnérabilités antérieures concernant l’énergie solaire et a analysé les tendances. En moyenne, plus de 10 nouvelles vulnérabilités ont été divulguées chaque année au cours des trois dernières années, et 80 % d’entre elles ont une gravité élevée ou critique.
32 % ont un score de risque CVSS de 9,8 ou 10, ce qui signifie généralement qu’un attaquant peut prendre le contrôle total d’un système affecté. Le système CVSS (Common Vulnerability Scoring System) est une norme technique permettant d’évaluer la gravité des vulnérabilités des systèmes informatiques.
Les composants les plus touchés sont les moniteurs solaires (38 %) et les serveurs cloud (25 %). Relativement peu de vulnérabilités (15 %) affectent directement les onduleurs solaires. Certaines vulnérabilités permettent également aux attaquants de détourner d’autres appareils intelligents dans les maisons des utilisateurs
Les nouvelles vulnérabilités, qui ont maintenant été corrigées par les fournisseurs, pourraient permettre à des pirates de prendre le contrôle total d’une flotte entière d’onduleurs solaires.
Une fois qu’ils ont pris le contrôle de ces onduleurs, les attaquants peuvent modifier leurs paramètres de production d’énergie ou les éteindre et les rallumer de manière coordonnée, sous la forme d’un réseau de zombies. L’effet combiné des onduleurs détournés produit un effet important sur la production d’électricité dans un réseau. L’impact de cet effet dépend de la capacité de production d’urgence de ce réseau et de la rapidité avec laquelle elle peut être activée.
L’exemple qu’ils utilisent est celui du réseau européen. Des recherches antérieures ont montré qu’il faudrait contrôler 4,5 GW pour abaisser la fréquence à 49 Hz, ce qui nécessite un délestage ou l’effondrement du réseau. La capacité solaire actuelle en Europe étant d’environ 270 GW, il faudrait que les attaquants contrôlent moins de 2 % des onduleurs sur un marché dominé par Huawei, Sungrow et SMA.
Le rapport recommande de traiter les onduleurs des installations résidentielles, commerciales et industrielles comme des infrastructures critiques, avec une cybersécurité adaptée.
Les propriétaires d’installations commerciales et industrielles devraient inclure des exigences de sécurité dans leurs achats et procéder à une évaluation des risques lors de la configuration des dispositifs. Ils devraient également assurer la visibilité du réseau dans les systèmes d’énergie solaire, en segmentant et en surveillant les dispositifs dans leurs propres sous-réseaux.
Les fabricants d’appareils devraient mettre en œuvre des pratiques sécurisées de cycle de vie des logiciels et effectuer régulièrement des tests de pénétration, notamment en adoptant des stratégies de sécurité en profondeur à l’aide de pare-feu d’application web.
Les audits des liens de communication réalisés par des tiers devraient être basés sur des normes telles que la norme ETSI EN 303 645, la directive relative aux équipements hertziens (RED) et la loi sur la cyber-résilience (CRA).
Le rapport est disponible ici : Rapport sur les vulnérabilités du réseau solaire
Si vous avez apprécié cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à :
