La CNIL (Commission nationale de l’informatique et des libertés) s’est alarmée il y a déjà quelque temps du fait que les données transmises par les compteurs intelligents (en l’occurrence Linky pour la France) pouvaient être facilement piratées en raison de pages insuffisamment sécurisées. C’est ce que viennent de démontrer des hackers, sur des compteurs américains et sur Linky, en découvrant que les analyses très précises relayées par les compteurs étaient à la portée de tous ou presque.
Deux hackers ont ainsi commencé par souscrire un abonnement chez un fournisseur d’électricité américain, Discovergy, qui leur a donc fourni un compteur intelligent. Au cours de leur visite dans l’espace client du site, ils se sont aperçu que le certificat de sécurité mal configuré présentait des failles qui permettaient d’intercepter des informations. En les utilisant, ils ont même pu non seulement afficher, mais aussi modifier les données transmises. Le PDG de Discovergy a reconnu que la consommation électrique était relevée au pas de 2 secondes, permettant une analyse très fine des résultats, selon lui dans le but d’avertir un client laissant un appareil comme un fer à repasser allumé pendant son absence. Il a promis que la société allait œuvrer à corriger la sécurité du site.
En France, la CNIL avait déjà relevé que des données trop précises permettaient de déduire les habitudes de vie des usagers, ainsi que le type d’appareil qu’ils utilisaient, et noté qu’un relevé journalier suffisait pour la facturation d’un abonnement standard.
Très récemment, un petit groupe de hackers allemands a piraté le compteur intelligent d’ERDF, dont nous devrions tous être équipés d’ici quelques années, notre fameux Linky. On savait déjà par les précisions de l’ADEME que, tel quel, il apportait de nombreux bénéfices aux fournisseurs d’électricité et au gestionnaire de réseau, mais que ces bénéfices restaient tout à fait « théoriques » pour le consommateur.
Les hackers se sont rendu compte que le compteur identifie et analyse bien le type et le nombre d’appareils connectés et peut même connaitre la chaîne de télévision regardée… Ils s’aperçoivent d’autre part que les données transitent entre le compteur et les serveurs de manière non cryptée. Ils ont même réussi à les falsifier en faisant croire que le foyer n’avait pas consommé d’électricité pendant deux mois. Pire, ils ont précisé que ce piratage était à la portée de tous, à l’aide de simples outils Windows.
A la lecture de ces communiqués, on se rend compte que si ces hackers travaillaient seulement dans le but de dénoncer les failles des systèmes, d’autres, malintentionnés, peuvent tout aussi bien détourner les données à d’autres fins et semer la panique dans la distribution d’électricité d’un pays. Ceci apporte de l’eau au moulin de ceux qui s’opposent à la généralisation trop rapide, et sans garanties suffisantes, de tels compteurs.
