Le hacker néerlandais Jelle Ursem a découvert le mot de passe en avril 2021. À cette époque, les informations de connexion étaient accessibles au public en ligne depuis plus d’un an et demi. Quiconque savait où les trouver pouvait accéder au panneau d’administration de la marque chinoise SolarMAN.
Des onduleurs sont nécessaires pour convertir l’électricité produite en électricité utilisable. Sans ces appareils, les panneaux solaires sont inutiles.
“Très peu professionnel”
“Un mot de passe accessible à tous. Nous ne sommes pas si stupides, n’est-ce pas ?”, déclare Aiko Pras, professeur de sécurité Internet à l’université de Twente. “Alors ça arrive quand même. Les erreurs sont encore plus stupides que vous ne pouvez l’imaginer.”
Hacker Ursem a informé la société chinoise l’année dernière, après quoi le mot de passe serait changé rapidement. Mais lorsque le pirate éthique tente de se reconnecter avec l’ancien mot de passe en février de cette année, il revient tout simplement. Le professeur Pras juge qu’il est très peu professionnel que la société chinoise traite sa sécurité de cette manière.
Dans l’environnement en ligne de SolarMAN, vous pouvez voir exactement où se trouvent les onduleurs. Aux Pays-Bas, il y a plus de 40 000 places. Dans le monde, cela concerne plus d’un million de sites, principalement en Chine et en Australie.
Saboter les panneaux solaires
Il était également possible de télécharger, de modifier et de charger les contrôles techniques des appareils sur les onduleurs, explique Frank Breedijk de l’Institut néerlandais de divulgation des vulnérabilités (DIVD) à RTL Nieuws.
“Si vous pouvez ajuster le logiciel des appareils, vous pouvez faire des choses désagréables”, explique Georgios Smaragdakis, professeur de cybersécurité à la TU Delft. De cette façon, vous pouvez éteindre les appareils à distance. En conséquence, vous ne pouvez plus utiliser l’énergie solaire produite pour votre propre maison ou la réinjecter dans le réseau électrique. Les panneaux solaires coûteux sont donc inutiles.
La DIVD
L’Institut néerlandais pour la divulgation des vulnérabilités (DIVD) est une organisation de pirates et de chercheurs en sécurité qui souhaitent rendre Internet plus sûr. Pour ce faire, ils informent les entreprises et les organisations des vulnérabilités présentes.
Dans ce cas, la DIVD a collaboré avec le National Cyber Security Center (NCSC) du gouvernement néerlandais. Il a contacté les autorités chinoises en février et avril pour joindre la société derrière SolarMAN.
Le 2 juillet, le mot de passe a de nouveau été changé et la page où il était en ligne a été supprimée. SolarMAN a déclaré dans une réponse à RTL Nieuws qu’il n’était au courant de l’affaire que début juillet.
Si une personne malveillante contrôle suffisamment d’onduleurs, il serait également possible de mettre à rude épreuve le réseau électrique. “Avec des dizaines de milliers d’appareils, probablement répartis dans tous les Pays-Bas, il était difficile de vraiment endommager le réseau électrique dans ce cas”, explique Smaragdakis. “Vous aurez besoin de centaines de milliers pour cela.”
Cela ne veut pas dire qu’il n’y avait pas de danger. “Un pirate informatique peut ajuster les paramètres de sécurité autour de la tension de manière à ce que la chose prenne feu”, explique Pras de l’Université de Twente.
L’Agence des télécoms confirme les vulnérabilités évoquées. Si les appareils ne sont pas correctement sécurisés, les gens peuvent perdre des revenus provenant de l’énergie solaire, entre autres. Le régulateur pointe également le risque d’incendie et, dans le pire des cas, de coupures de courant sur le réseau électrique.
“Si l’onduleur est connecté à votre propre réseau Wi-Fi, un pirate peut également couper votre connexion Internet”, explique le professeur de sécurité Internet.
“Si vous pouvez reprogrammer complètement un onduleur, vous pouvez également le casser ou exclure le fournisseur”, déclare Breedijk du DIVD, qui a présenté le cas aujourd’hui sur une scène lors d’un festival de hackers à Zeewolde. “En fait, vous pouvez faire danser l’appareil à votre guise.”
Plus gros problème
Ce n’est pas la première fois que des équipements autour de panneaux solaires se révèlent vulnérables. En 2017, le hacker Willem Westerhof a montré lors du même hacker festival qu’il pouvait pirater un fabricant allemand d’onduleurs.
“Je suis alors consciemment parti à la recherche d’une entreprise qui, à mon avis, serait la mieux sécurisée”, se souvient le hacker. “Je voulais montrer que la situation avec les autres serait probablement bien pire.”
Ce ne sera pas la dernière fois, prédisent les experts. “Il est naïf de penser que c’est le seul fabricant qui gère la sécurité de manière non professionnelle”, déclare Pras.
“De plus en plus dangereux”
“Il y a de fortes chances que nous voyions cela plus souvent”, déclare Smaragdakis de TU Delft. “La prochaine fois, il pourrait s’agir d’un piratage de centaines de milliers d’appareils.”
Smaragdakis : “Malheureusement, de plus en plus d’appareils sont connectés à Internet. C’est là que les problèmes commencent. N’importe qui du monde entier peut s’y connecter.”
“C’est le problème”, dit Westerhof. “Cela montre que quelqu’un qui peut faire un peu de recherche sur Google peut soudainement entrer dans nos appareils. Cela pourrait être n’importe qui qui veut causer des dommages. Cela devient de plus en plus dangereux.”
Réponse SolarMAN
SolarMAN indique dans une réponse que le mot de passe ne donnait accès qu’à un environnement de test. Néanmoins, des données de clients réels pouvaient y être vues, comme la commune de Vlissingen. Il dit qu’il a déconnecté les onduleurs d’internet.
L’entreprise chinoise confirme qu’il était bien possible de modifier le logiciel des onduleurs, mais indique qu’il y avait des garde-fous supplémentaires pour prendre la main.
Pour autant que l’on sache, l’incident n’a causé aucun dommage réel et la fuite est désormais colmatée. SolarMAN indique qu’il travaille avec la DIVD pour sécuriser leurs produits.
