Des hackers remettent en cause les pratiques des compteurs électriques "intelligents"

Olivier Robillart
Publié le 12 janvier 2012 à 18h45
Deux hackers viennent de publier les résultats de leurs recherches portant sur les compteurs électriques dits « intelligents ». En se rendant sur une page insuffisamment sécurisée d'un opérateur américain, ils ont découvert que ces compteurs relayaient de nombreuses données d'analyse très fines de la consommation électrique.

00FA000004873986-photo-28c3thumb250.jpg
Lors de la 28ème édition du Chaos Computing Congress, Dario Carluccio et Stephan Brinkhaus ont présenté le résultat de leurs recherches. Ils ont commencé par souscrire un abonnement chez le fournisseur d'énergie américain Discovergy. Ce dernier leur a donc fourni un compteur intelligent capable de transmettre de façon électronique les index de consommation à l'opérateur de réseau.

Une fois l'installation terminée, ils ont visité l'espace dédié aux consommateurs sur Internet. Au fil de leurs visites, ils ont alors constaté que le certificat SSL (Secure Socket Layer) du portail était mal configuré et ont été en mesure d'intercepter les informations transmises (certificat invalide permettant d'afficher des identifiants en clair, précise le site Naked Security) .

Carluccio et Brinkhaus expliquent ensuite à The hacker News qu'ils ont été capable d'utiliser cette faille de sécurité et ainsi d'intercepter et modifier les communications émises par le compteur en utilisant leur propre routeur. En testant individuellement chaque appareil électronique de leur foyer, ils ont alors remarqué que chaque type d'appareil (réfrigérateur, écran TV...) possédait une signature électrique différente. Par exemple, en utilisant à tour de rôle un écran plasma, LCD, CRT (à tube cathodique), ils ont noté les écarts de consommation en fonction de la luminosité émise par l'appareil.

Egalement présent à la conférence, le p-dg de Discovergy a confirmé que la consommation électrique était bien analysée de manière très fine par le compteur (toutes les 2 secondes). Nikolaus Starzacher a même ajouté que cette précision a été introduite afin d'avertir un client s'il part de son domicile en laissant un appareil électrique allumé (fer à repasser, four...). Tout en saluant le travail de recherche fourni, il a promis non seulement de corriger la vulnérabilité sur le site de la société mais également de laisser à l'abonné le pouvoir de configurer à loisir le délai entre chaque analyse de la consommation.

La Cnil appelle à la plus grande prudence

En France, le ministre de l'Economie numérique a affirmé l'an dernier que ce type de compteurs allait être généralisé à l'ensemble des consommateurs. Eric Besson a en effet présenté le compteur Linky d'ERDF qui devrait être installé sur les installations électriques françaises d'ici à 2020.

De son côté, la Cnil a déjà montré des réticences au sujet d'une généralisation de ce type d'appareil. Dans une note, la commission rappelait que la sécurité de ces dispositifs devait clairement être assurée pour les consommateurs. Elle précisait même que : « les informations précises obtenues sur la consommation électrique de l'abonné permettent de déduire quelles sont ses habitudes de vie (heure de lever, heure de coucher...) ou même, dans des cas spécifiques, le type d'appareils utilisés. C'est pourquoi, la Commission recommande une adaptation du niveau de détail des données en fonction des différents usages ».

Afin d'éviter tout abus, la Cnil expliquait qu'un simple relevé journalier était « suffisant pour la facturation d'un abonnement standard ».

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles