L'alarme circule silencieusement pour l'instant, face à une menace potentiellement dévastatrice. Nous scrutons, mesurons et accélérons la recherche de solutions. Une poignée de pirates informatiques, ou pire encore, une organisation criminelle, ou peut-être une puissance étrangère belliqueuse, peuvent-ils réellement prendre le contrôle de notre système photovoltaïque, voire de notre borne de recharge pour voiture électrique, en s'introduisant dans notre réseau, puis dans notre ordinateur connecté à Internet ? Et peuvent-ils réellement passer de notre réseau au système électrique national, provoquant vol de données, sabotage, voire une panne majeure ? Oui, tout cela est vrai.
C'est la faute des Chinois, dira-t-on immédiatement, compte tenu de l'arrêt que le gouvernement américain avait déjà pointé du doigt il y a cinq ans, bloquant l'utilisation aux États-Unis des appareils Huawei, qui hébergeaient des composants et des applications logicielles non documentées permettant d'activer un accès abusif (backdoor). On a ensuite découvert que le danger était en réalité intrinsèque à tous les systèmes similaires, ou plutôt à tous les systèmes, vraiment nombreux et pas seulement chinois, et pas seulement aux onduleurs, mais aussi aux routeurs classiques qui nous connectent à Internet, et qui disposent de procédures permettant d'intervenir plus ou moins automatiquement pour mettre à jour le logiciel de l'appareil ou corriger des anomalies.
Une porte abusive dans les onduleurs solaires, mais pas seulement
Les experts américains de l'Agence de sécurité nationale (NSA) s'alarment : de nombreux modèles chinois d'onduleurs solaires, ces dispositifs qui alimentent nos panneaux photovoltaïques en intelligence en gérant les échanges avec le réseau domestique et le réseau électrique public, regorgent de composants et de fonctions non documentés permettant un contrôle à distance au-delà des simples opérations de maintenance ou de surveillance. Une menace concrète pour la sécurité énergétique et la résilience des infrastructures critiques, affirment-ils à la NSA, citant une enquête également menée par le Département de l'Énergie des États-Unis, basée sur les résultats d'une surveillance réalisée avec un outil spécifique, le logiciel SBOM (Bill of Materials), conçu pour surveiller le fonctionnement de tous les composants, y compris les logiciels, installés dans les appareils.
Il faut dire que les espions spécialisés dans les onduleurs bénéficient déjà d'une solide formation. Les rapports des principaux instituts de recherche montrent que le nombre de cyberattaques réussies ayant touché le secteur de l'énergie a doublé entre 2018 et 2022, et a encore doublé au cours des trois dernières années. Un problème majeur si l'on considère que les objectifs de développement des énergies renouvelables prévus dans le scénario « Zéro émission nette d'ici 2050 » de l'Agence internationale de l'énergie (AIE) prévoient que le nombre de bâtiments résidentiels dans le monde équipés de panneaux photovoltaïques quadruplera pour atteindre 100 millions d'ici 2030, et doublera encore d'ici 2050. Parallèlement, les marques chinoises (Huawei, Sungrow et autres) possèdent bien plus de la moitié des onduleurs photovoltaïques distribués dans le monde et sont quasiment dominantes en Europe.
La carte des risques : personne n'est vraiment à l'abri
Rééquilibrer le marché pour réduire les risques ? Une mission véritablement ardue. La suprématie absolue des Chinois ne repose pas seulement sur leurs marques, mais aussi sur les composants installés dans les appareils assemblés et vendus par des marques occidentales, mais imprégnés de composants chinois, et même sur les logiciels d'exploitation de base (micrologiciels).
Ce n'est pas tout. Si l'on analyse objectivement les indices réels de culpabilité des « ports d'entrée illégaux » des dispositifs qui connectent les installations photovoltaïques et, plus généralement, les équipements énergétiques aux réseaux, on constate de nombreuses surprises. Gênant même pour les censeurs américains qui accusent les Chinois, qui se défendent en parlant d'accusations et de sanctions « injustifiées et instrumentales ».
Les systèmes photovoltaïques entièrement fabriqués aux États-Unis sont-ils sûrs ? Apparemment non. Des sites spécialisés font état d'un test sur le terrain mené l'été dernier par deux hackers éthiques qualifiés (les « bons », autrement dit), les Néerlandais Wiestre Boonstra et Hidde Smit, qui auraient été sollicités par l'américain Enphase pour collaborer avec une transparence admirable afin de vérifier la vulnérabilité de ses panneaux solaires. Résultat : les deux hommes auraient ouvert une porte dérobée avec une relative facilité, accédant à tous les contrôles des onduleurs fabriqués aux États-Unis.
Pendant ce temps, depuis la Grèce, un autre hacker éthique, Vangelis Stykas, cofondateur d'Antropos, société de recherche en cybersécurité de premier plan, a démontré depuis son domicile à Thessalonique combien il est facile de violer les pare-feu (les barrières matérielles et logicielles contre les intrusions) de nombreux panneaux solaires à travers le monde en simulant (sans les activer) les commandes permettant de provoquer une série de pannes, même à grande échelle. Interrogé par l'agence Bloomberg, il a conclu : « Nous devenons de plus en plus dépendants de ces appareils », qui « ne sont cependant pas conçus pour résister aux cybermenaces complexes, bien qu'ils fassent désormais partie des infrastructures critiques des pays ».
Premières contre-attaques et remèdes difficiles
Se protéger est un défi difficile et ardu, au-delà de la simple mise en accusation des technologies chinoises. L'Europe promet diligence et engagement, mais avec ses habitudes et ses méthodes bureaucratiques et lenteurs habituelles. Alors qu'elle a officiellement enregistré au moins 2023 incidents graves sur le Vieux Continent en 100, soit la moitié de ceux enregistrés à l'échelle mondiale, elle travaille à un ensemble de nouvelles réglementations visant à renforcer la sécurité informatique et des infrastructures. La directive NIS2 et le Cyber Resilience Act sont notamment en préparation, un nom retentissant qui doit encore être doté d'un contenu opérationnel et contraignant pour l'ensemble de la communauté des technologies et des services.
Mais que pouvons-nous faire chez nous en attendant ? Très peu en réalité pour éviter les intrusions dans le monde délicat des réseaux publics, mais beaucoup pour éviter les intrusions dans notre réseau privé ou, plus simplement, dans nos connexions Internet, dans nos PC, dans tous les périphériques de stockage que nous gardons connectés en permanence (par exemple, NAS, disques réseau).
Une première astuce fondamentale, très importante, consiste à séparer les connexions Internet en configurant notre routeur avec deux réseaux distincts et indépendants, par exemple en utilisant le mode d'activation « réseau invité », disponible même sur les routeurs domestiques les moins chers. Sur le réseau principal (et le Wi-Fi associé), nous connecterons les PC, la Smart TV et tous nos appareils. Sur le second réseau (configuré en « invité » ou autrement), nous connecterons tous les autres appareils : du contrôle de la climatisation à l'onduleur des panneaux solaires, en passant par la borne de recharge pour véhicules électriques. C'est déjà une bonne chose, en espérant que les organismes anti-piratage feront enfin leur travail pour sécuriser les grands réseaux.
