Des chercheurs de l'institut du Georgia Insititute of Technology ont découvert qu'il suffirait d'un botnet de 50 000 objets pour manipuler le marché de l'énergie, en créant des pannes ou en faisant évoluer les prix.
L'utilisation de botnets peut très facilement déstabiliser internet dans le monde entier, comme ce fut le cas en 2016 avec le réseau Mirai. Mais des chercheurs d'une université d'Atlanta ont découvert qu'un de ces réseaux, à condition d'être suffisamment imposant, pourrait également menacer le fonctionnement et l'équilibre du marché de l'énergie.
Détourner le réseau via la consommation
Contrairement aux botnets classiques, qui servent souvent à mener des attaques en déni de service distribué (DDoS) permettant de rendre inaccessibles de nombreux sites et services internet, il faudrait un réseau d'appareils connectés (IoT) pour surcharger la consommation d'électricité et ainsi faire vaciller le réseau. Il ne s'agit évidemment pas d'appareils connectés à faible consommation comme des téléphones portables, mais bien d'appareils à haute consommation, comme le précisent les chercheurs, à l'image de climatiseurs ou de bornes de recharge domestiques pour véhicules électriques.
Lors de leurs recherches, ils ont remarqué que les événements inattendus comme les catastrophes naturelles ont un effet sur le prix de l'électricité, car celui-ci est fixé en prévision des consommations à venir. Dès lors, en faisant agir un réseau d'appareils zombies pouvant consommer une énergie massive, les corrections appliquées au marché pourraient faire varier les prix prévisionnels des jours et semaines suivants.
Un réseau de 50 000 appareils suffirait
Là où certains botnets peuvent comporter des millions d'appareils, ce sont seulement 50 000 objets connectés qui pourraient suffire à créer de telles perturbations. L'un des contributeurs à l'étude explique ce qu'ont voulu faire les chercheurs en imaginant plusieurs scénarios : « Notre première supposition est que nous avons accès à un botnet IoT à forte puissance », explique Tohid Shekari, futur doctorant du Georgia Institute of Technology, lors de la convention de sécurité Black Hat.
« Dans nos scénarios, le premier attaquant est un acteur du marché qui essaie de maximiser son profit. […] La partie basique de chaque attaque est de regarder la sensibilité au prix. Si nous changeons la demande de 1%, de combien changera le prix en résultat ? Il faut optimiser l’attaque pour maximiser les gains ou les dégâts ».
Et en optimisant le moment des déclenchements de ces attaques, les variations de consommation pourraient entraîner selon eux jusqu'à 7% d'augmentation des factures de consommation. Les hackers ne seraient pas en reste, puisqu'avec une telle attaque menée par un acteur du marché trois heures par jour, 100 jours par an, l'augmentation des factures pourrait rapporter environ 20 millions d'euros aux entreprises. S'il est difficile de savoir comment de tels plans pourraient être mis en place sans que la supercherie ne soit révélée, l'étude montre aussi qu'il serait très facile de mettre à genou le réseau et de causer des pannes massives à l'échelle de régions ou de pays.
Source : WIRED