La cybersécurité des installations énergétiques résidentielles reste insuffisante - un rappel effrayant
Comme je l'ai écrit dans des articles précédents (ici et ici), la croissance rapide récente du solaire résidentiel et du stockage d'énergie ouvre des perspectives passionnantes, notamment celles des centrales électriques virtuelles. Mais comme nous l'a récemment rappelé le FBI, cette croissance comporte également des risques.
Un autre rappel frappant nous a été fourni par un passionné de domotique près de Londres. Alors qu'il tentait d'automatiser le stockage d'énergie de sa résidence, Ryan Castellucci a involontairement obtenu l'accès à une centrale électrique virtuelle de 200 MW.
Il serait facile de blâmer la compagnie d'énergie ou le fournisseur de logiciels pour cette sécurité insuffisante. La réalité est toutefois bien plus effrayante : les parties impliquées ne semblent pas avoir fait quoi que ce soit qui sorte de l'ordinaire en matière de cybersécurité. Le niveau (insuffisant) de sécurité protégeant l'accès à ces ressources est couramment utilisé, malgré ses vulnérabilités connues.
Et c'est là que la croissance de la production et du stockage d'énergie résidentielle devient un facteur aggravant. Dans ce cas, l'ancien « pirate informatique » a non seulement eu accès à une grande quantité de données confidentielles sur les clients (ce qui est déjà suffisamment grave), mais il a également pris le contrôle de 200 MW d'actifs de stockage d'énergie connectés au réseau.
Cette fois-ci, c'était embarrassant et peut-être même un peu amusant. La prochaine fois, cela pourrait être beaucoup plus grave, et beaucoup plus sinistre.
Nous ne pouvons qu'espérer que l'industrie en prenne note et agisse avant qu'il ne soit trop tard.
Il a fallu 70 dollars et 24 heures à Ryan Castellucci pour obtenir un accès à une capacité de 200 MW.
Voir l'article référencé
