Une fois l'installation terminée, ils ont visité l'espace dédié aux consommateurs sur Internet. Au fil de leurs visites, ils ont alors constaté que le certificat SSL (Secure Socket Layer) du portail était mal configuré et ont été en mesure d'intercepter les informations transmises (certificat invalide permettant d'afficher des identifiants en clair, précise le site Naked Security) .
Carluccio et Brinkhaus expliquent ensuite à The hacker News qu'ils ont été capable d'utiliser cette faille de sécurité et ainsi d'intercepter et modifier les communications émises par le compteur en utilisant leur propre routeur. En testant individuellement chaque appareil électronique de leur foyer, ils ont alors remarqué que chaque type d'appareil (réfrigérateur, écran TV...) possédait une signature électrique différente. Par exemple, en utilisant à tour de rôle un écran plasma, LCD, CRT (à tube cathodique), ils ont noté les écarts de consommation en fonction de la luminosité émise par l'appareil.
Egalement présent à la conférence, le p-dg de Discovergy a confirmé que la consommation électrique était bien analysée de manière très fine par le compteur (toutes les 2 secondes). Nikolaus Starzacher a même ajouté que cette précision a été introduite afin d'avertir un client s'il part de son domicile en laissant un appareil électrique allumé (fer à repasser, four...). Tout en saluant le travail de recherche fourni, il a promis non seulement de corriger la vulnérabilité sur le site de la société mais également de laisser à l'abonné le pouvoir de configurer à loisir le délai entre chaque analyse de la consommation.
La Cnil appelle à la plus grande prudence
En France, le ministre de l'Economie numérique a affirmé l'an dernier que ce type de compteurs allait être généralisé à l'ensemble des consommateurs. Eric Besson a en effet présenté le compteur Linky d'ERDF qui devrait être installé sur les installations électriques françaises d'ici à 2020.
De son côté, la Cnil a déjà montré des réticences au sujet d'une généralisation de ce type d'appareil. Dans une note, la commission rappelait que la sécurité de ces dispositifs devait clairement être assurée pour les consommateurs. Elle précisait même que : « les informations précises obtenues sur la consommation électrique de l'abonné permettent de déduire quelles sont ses habitudes de vie (heure de lever, heure de coucher...) ou même, dans des cas spécifiques, le type d'appareils utilisés. C'est pourquoi, la Commission recommande une adaptation du niveau de détail des données en fonction des différents usages ».
Afin d'éviter tout abus, la Cnil expliquait qu'un simple relevé journalier était « suffisant pour la facturation d'un abonnement standard ».
