Deux pirates informatiques néerlandais ont découvert et dévoilé six nouvelles vulnérabilités dans les appareils Enphase IQ Gateway, anciennement connus sous le nom d’Enphase Envoy. Ces dispositifs électroniques permettent d’établir la communication entre les micro-onduleurs des panneaux solaires sur le toit avec le logiciel de suivi Enphase qui est basé sur le cloud. Plus de 4 millions de dispositifs déployés dans quelque 150 pays ont ainsi été exposés à une prise de contrôle malveillante : la combinaison de trois des six vulnérabilités permettait à d’éventuels attaquants de prendre le contrôle total de la passerelle Enphase IQ et des appareils connectés, c’est à dire, des panneaux solaires.
Le fabricant américain a toutefois eu de la chance puisque les deux hackers faisaient partie du Dutch Institute of Vulnerability Disclosure (DIVD), une organisation néerlandaise créée il y a cinq ans pour sécuriser les dispositifs numériques grâce au travail de pirates informatiques éthiques qui acceptent de collaborer avec les fabricants pour faire remonter les failles de sécurité détectées.
Les vulnérabilités découvertes par Wietse Boonstra et Hidde Smit de la DIVD ont été été signalées le 17 avril 2024 à Enphase. Le fabricant a répondu à l’équipe du DIVD dès le 18 avril afin d’entamer un travail avec les chercheurs. Les vulnérabilités ont été traitées dans la prochaine version qui est actuellement en cours de déploiement. Le DIVD a affirmé continuer de travailler avec Enphase pour identifier les passerelles Envoy IQ encore vulnérables et exposées à l’échelle mondiale afin de faciliter le processus de mise à jour corrective. Il rappelle toutefois qu’un appareil n’est vulnérable que si l’équipement Enphase est exposé « à un réseau non fiable, tel que l’Internet public ou un réseau d’invités domestique ».
Les systèmes solaires présentent une vulnérabilité grave aux cyberattaques
Le DIVD s’est inquiété dans un communiqué de constater « une augmentation inquiétante des vulnérabilités, en particulier dans le contexte de la transition énergétique rapide. À mesure que de nouvelles technologies telles que les réseaux intelligents et les appareils IoT sont intégrées, l’exposition du secteur aux risques augmente. Cette augmentation des vulnérabilités est probablement due à l’innovation rapide qui dépasse souvent les mesures de sécurité. Compte tenu de l’importance du secteur, il est essentiel de donner la priorité à la cybersécurité pour se prémunir contre ces menaces croissantes. »
Le 12 août dernier, l’Agence néerlandaise pour l’entreprise (Rijksdienst voor Ondernemend Nederland) a publié un rapport sur une enquête sur les vulnérabilités des systèmes d’énergie solaire néerlandais, réalisée par la société Secura pour le compte de l’Agence néerlandaise pour l’entreprise, à la demande et en collaboration avec le Top Sector Energy. L’étude décrit trois scénarios plausibles par lesquelles des cyberattaques contre les installations d’énergie solaire pourraient avoir lieu et à l’origine de divers acteurs – du pirate informatique individuel à l’Etat, en passant pas des entreprises malveillantes. Elle évalue ensuite des mesures d’atténuation possibles et susceptibles de prévenir ces incidents ou d’en limiter l’impact. Voici, en résumé, les trois scénarios étudiés :
- Attaque via le portail Cloud. Un gang de cybercriminels ransomware voit l’opportunité de s’emparer de plusieurs comptes de grands installateurs et ainsi d’extorquer les exploitants de parcs solaires.
- Une mise à jour logicielle en ligne des onduleurs permet aux criminels d’accéder involontairement aux onduleurs et peut donc les arrêter ou les endommager. Le scénario le plus probable est que des dizaines de milliers d’onduleurs dont le mot de passe par défaut n’a pas été modifié lors de l’installation soient repris par un botnet.
- Une attaque ciblée sur la chaîne d’approvisionnement par un acteur étatique. Cela pourrait être possible si les tensions géopolitiques s’accentuent en raison des différentes guerres. Dans ce scénario, un pays utilise des cyberarmes pour attaquer des infrastructures vitales en s’emparant d’équipements.
« Chez DIVD, nous espérons sincèrement que des mesures préventives seront prises pour remédier aux vulnérabilités et aux faiblesses avant qu’une catastrophe ne se produise. Nous avons déjà découvert de nombreuses vulnérabilités aux bornes de recharge et à leurs backends, que nous avons signalées. Et selon une étude sur l’impact d’un piratage de l’infrastructure de recharge réalisée par Berenschot, une panne d’électricité nous coûterait au moins plusieurs milliards d’euros par jour aux Pays-Bas », souligne Harm van den Brink, chercheur en énergie.
Enphase a été contacté par pv magazine France pour commenter l’incident et donner plus d’informations sur les mesures mises en place pour renforcer la sécurité numérique, mais n’a pas encore fait de retour à ce jour.
Ce contenu est protégé par un copyright et vous ne pouvez pas le réutiliser sans permission. Si vous souhaitez collaborer avec nous et réutiliser notre contenu, merci de contacter notre équipe éditoriale à l’adresse suivante: editors@pv-magazine.com.
En transmettant ce formulaire vous acceptez que pv magazine utilise vos données dans le but de publier votre commentaire.
Vos données personnelles seront uniquement divulguées ou transmises à des tierces parties dans une optique de filtre anti-spams ou si elles s’avèrent nécessaires à la maintenance technique du site web. Un transfert de vos données à des tierces parties pour toute autre raison ne pourra se faire que s’il est justifié par la législation relative à la protection des données, ou dans le cas où pv magazine y est légalement obligé.
Vous pouvez révoquer ce consentement à tout moment avec effet futur, auquel cas vos données personnelles seront immédiatement supprimées. Dans le cas contraire, vos données seront supprimées une fois que pv magazine aura traité votre requête ou lorsque le but du stockage des données est atteint.
Pour de plus amples informations sur la confidentialité des données, veuillez consulter notre Politique de Protection des Données.