BitDefender met en lumière des failles critiques dans les systèmes de gestion de l’énergie solaire
Le 7 août, des chercheurs en cybersécurité de Bitdefender ont publié un rapport alarmant sur leur blog officiel, révélant des vulnérabilités majeures dans les systèmes de gestion de l'énergie solaire, utilisés à l'échelle mondiale.
Les infrastructures de production d'électricité, interconnectées à travers la planète, dépendent de plus en plus de l'infrastructure Internet mondiale pour optimiser leur surveillance et leur gestion. Cependant, les chercheurs de Bitdefender ont découvert des failles dans les plateformes Solarman et Deye, qui contrôlent environ 20 % du marché de production d'énergie solaire. Ces vulnérabilités impactent potentiellement plus de 195 Gigawatts de production électrique, soit l'équivalent de la consommation des États-Unis, répartis sur plus de 190 pays.
C'est plus précisément les inverter (onduleurs) Deye ainsi que les Data logger Solarman qui se sont montrés vulnérables. Dans une infrastructure de gestion d'énergie, ces data logger permettent de journaliser l'activité et de transmettre des données sur les performances d'un système de production d'énergie solaire.
Dans leur rapport intitulé "60 Hurts per Second – How We Got Access to Enough Solar Power to Run the United States", les chercheurs annoncent avoir identifié plusieurs failles critiques sur ces plateformes, notamment :
- Data Loger Solarman :
- Compromission complète des comptes utilisateurs : la modification des données JSON permet de prendre le contrôle de n'importe quel compte, quel que soit son niveau de privilège.
- Réutilisation des jetons JWT entre Solarman et Deye, facilitant la propagation d'une compromission initiale.
- Exposition excessive de données sensibles : augmentant le risque d'attaques ciblées ou de réutilisation des données pour d'autres opérations.
- Inverter Deye :
- Identifiants codés en dur : le mot de passe administrateur par défaut, « 123456 », est présent sur toutes les installations.
- Fuite d'information via des API mal sécurisées, exposant des données sensibles.
- Faiblesse dans la gestion du contrôle d'accès : le serveur échoue à vérifier la signature d'un token JWT fournit, ce qui permet de manipuler son contenu pour s'authentifier en tant que n'importe qui.
Il est à noter que les vulnérabilités de fuite d'informations sont particulièrement gênantes puisque les plateformes sont hébergées dans le Cloud. Un client est donc en capacité de récupérer des informations secrètes et techniques provenant d'autres clients, potentiellement situés dans d'autres pays qui ne sont pas forcément bienveillants.
La description technique de ces vulnérabilités est présente dans les documents suivants :
Grâce à ces failles, les chercheurs ont pu accéder de manière non autorisée à des systèmes, exfiltrer des informations sensibles et perturber la production d'électricité, menaçant ainsi la stabilité du réseau énergétique mondial.
Des failles de sécurité corrigées rapidement par les éditeurs
Les vulnérabilités découvertes ont été signalées aux éditeurs en mai 2024, et des correctifs ont été déployés en juillet 2024. On peut noter une assez bonne réactivité des éditeurs :
Cette annonce publique de BitDefender nous rappelle à quel point la cybersécurité et les risques associés sont absolument partout, jusqu'à la gestion du composant le plus essentiel de toute notre société : l'électricité. Tout système se met à présent à avoir une surface d'attaque qui s'élargit par l'utilisation de l'informatique "classique", en passant par une interconnexion à Internet et l'utilisation du Cloud, avec tous les problèmes de dépendances que cela peut entrainer (incident Crowdstrike).