Le Livre d'Argent

Sécurité informatique : le cas du compteur Linky

Message 1, par Elzen

§ Posté le 16/02/2017 à 15h 48m 23

Les nouveaux modèles de compteur électriques en train d'être installés un peu partout font quelque peu parler d'eux, pour de bonnes et de mauvaises raisons. Je n'évoquerai pas ici la (fausse) problématique des ondes : le Pharmachien a déjà illustré cette question beaucoup mieux que je ne pourrais le faire. Je ne parlerai pas non plus des effets probables sur l'emploi, ni des problèmes de « greenwashing(1) ». Je vais en revanche me pencher ici sur un aspect beaucoup plus proche de mon domaine de spécialité : celui de la sécurité informatique.

En effet, la caractéristique majeure de ces nouveaux compteurs par rapport à ceux des générations précédentes est qu'ils sont désormais du matériel informatique, capable notamment de communiquer par le réseau. De ce fait, ils deviennent soumis aux mêmes règles de sécurité que tous les autres dispositifs de ce type. C'est donc une bonne occasion d'expliquer la façon dont on évalue cette sécurité.

Mon objectif n'est donc pas ici de faire une analyse technique du Linky (mais les personnes intéressées trouveront, surtout si elles sont également anglophones, quelques liens pour ça en fin d'article), mais de le prendre comme cas d'école des questions que l'on doit se poser dans ce domaine. Je vais donc, volontairement, parler de généralités et d'hypothèses plus que de faits vérifiés. Toute remarque plus concrète sera néanmoins, et naturellement, la bienvenue en commentaire, surtout avec les sources qui vont bien.


Bref, allons-y. La première chose à savoir à ce sujet, c'est que la sécurité n'est jamais totale et absolue(2). Bruce Schneier, l'un des plus célèbres spécialistes mondiaux en ce qui concerne le chiffrement, déclare :

Seul un ordinateur éteint, enfermé dans un coffre fort et enterré six pieds sous terre dans un endroit tenu secret peut être considéré comme sécurisé… et encore.

Pour autant, les choses ne sont pas nécessairement catastrophiques. Il y a, en fait, deux questions essentielles à se poser : quel est le modèle de menace auquel on doit faire face, et quel est le rapport entre l'énergie dépensée et le gain obtenu(3).


En d'autres termes : si, pour que l'attaquant parvienne à faire ce que vous craignez, il doit faire des efforts nettement supérieurs à ce qu'il retirera d'avoir atteint son but, les chances qu'il se décide à lancer une attaque sont suffisamment minces pour que vous puissiez vous considérer comme en sécurité.

Dans le cas du compteur Linky, on peut aisément envisager deux sortes d'attaques possibles : d'une part, le fait qu'un tiers accède aux informations concernant votre consommation (problème d'intimité numérique) ; d'autre part, le fait qu'un tiers modifie les informations qui transitent sur le réseau, et donc fausse les relevés de votre consommation. Dans un cas comme dans l'autre, il faut donc étudier le gain que différents attaquants seraient en mesure d'obtenir, puis les efforts que cela leur coûterait, afin de déterminer s'il y a, ou non, risque en matière de sécurité.


Commençons par le second cas, qui peut sembler plus intrusif. Nous nous plaçons ici du point de vue de la personne qui utilise la ligne électrique : une éventuelle attaque modifiant les données de telle sorte que le coût baisse ne serait sans doute pas perçu comme une menace(4). Une attaque modifiant les données de telle sorte que le coût augmente, en revanche, le serait davantage.

Cela demanderait cependant que le tiers(5) souhaite extorquer de l'argent à sa victime sans en bénéficier soi-même (puisque c'est le fournisseur d'électricité qui est payé) : assez improbable de la part d'un attaquant ordinaire(6). Un ennemi personnel pourrait peut-être envisager un tel mode d'attaque, mais il y a tellement d'autres moyens que la chose paraît assez improbable.


L'autre cas – simple accès aux données, sans modifications – peut sembler beaucoup moins problématique à vue de nez. Après tout, ce que consomme votre matériel électrique, ça ne sert pas à grand chose, si ? Ben… si, en fait.

Il est réputé impossible(7) de savoir, à partir de ce qu'envoie un compteur « intelligent », le détail de quel appareil est présentement en train de tourner derrière ce compteur. Néanmoins, même sans ce détail(8), on peut tout de même obtenir quelques informations pouvant s'avérer assez utiles.

Prenons mon propre cas : je dispose d'un frigo et d'un ballon d'eau chaude(9), qui restent allumés en permanence ; ainsi que d'un éclairage électrique et de quelques ordinateurs qui, naturellement, ne consomment que si je suis présentement en train de m'en servir. Même sans la signature précise de ces différents appareils, pensez-vous que vous aurez des difficultés à déterminer, à partir de ma consommation horaire, l'heure à laquelle j'ai tendance à aller me coucher ?

Allons plus loin. Ma consommation d'électricité est naturellement quelque peu plus élevée en hiver qu'en été, mais le détail horaire indique que cette augmentation coïncide avec la baisse de luminosité (quand il fait jour dehors, je consomme autant l'été que l'hiver ; quand il fait nuit dehors également, l'augmentation saisonnière n'était due qu'au fait qu'il fait plus souvent nuit en hiver). D'après-vous, mon système de chauffage est-il électrique ?

Des informations de ce type ne servent pas à grand chose pour l'individu lambda ; mais peuvent en revanche représenter une certaine valeur pour les régies publicitaires qui cherchent à vos profiler pour mieux pouvoir vous allécher. Même principe dans un autre registre : c'est très exactement sur ce type d'exploitation de (méta)données que Google base son activité(10).


Cela pose évidemment question en terme d'intimité numérique ; mais tout le monde ne se soucie pas de son intimité numérique (hélas). Peut-il y avoir d'autres choses à craindre ?

Eh bien, si l'on peut savoir aisément à quel moment vous allez vous coucher, ou quel type de chauffage vous utilisez, il n'y a pas non plus grande difficulté à savoir si vous vous trouvez présentement à votre domicile ou non. Information qui peut intéresser, par exemple, une personne souhaitant cambrioler votre domicile.

Dans certains coins résidentiels, les cambrioleurs en bandes plus ou moins organisées sont connus pour faire du repérage sur plusieurs semaines, histoire de pouvoir profiter des départs en vacances pour se livrer tranquillement à leurs activités. Pour des cambrioleurs suffisamment calés techniquement, avoir accès à votre consommation horaire serait susceptible de faciliter grandement les choses.


Bien sûr, ces deux scénarios restent hypothétiques. Globalement, on peut considérer que l'intérêt d'attaquer un compteur Linky pour obtenir des informations sur vous reste assez faible. Mais, et c'est le plus important, cet intérêt pas nul. Ce qui signifie qu'il est indispensable de s'intéresser à la facilité qu'il y a à mettre en place de telles attaques. S'il y a beaucoup d'efforts à déployer pour un gain faible, on peut être tranquille et considérer que les attaques n'auront vraisemblablement pas lieu. S'il n'y a pour ainsi dire pas d'efforts à déployer, le gain, si faible soit-il, peut tout de même en valoir la chandelle.

D'autant que si l'intérêt est faible de vous attaquer vous, il n'y a aucune raison que vous soyez la seule personne visée. Pour la publicité comme pour la cambriole (ou pour tout autre scénario, je n'ai pas la prétention d'avoir pensé à tout), l'intérêt résiderait avant tout dans le fait de pouvoir surveiller une quantité importante de foyers : tous ces intérêts faibles additionnés peuvent finir par représenter un intérêt assez fort.


Et c'est là que le bât blesse. Car la caractéristique principale des compteurs Linky, c'est qu'ils sont tous identiques. Ils fonctionnent tous rigoureusement de la même façon, et sont donc tous susceptibles de présenter les mêmes éventuelles défaillances de sécurité. J'avais déjà abordé ce point en vous parlant du plug-in Flash, qui présente le même problème : si on trouve une faille de sécurité sur un compteur Linky, la même faille a de très fortes chances de se retrouver à l'identique sur tous les autres.

À l'inverse, l'une des raisons qui font que les systèmes libres sont plus sécurisés que les autres est qu'il y a là-bas beaucoup de variété, qui fait qu'une faille qui affecte un élément donné ne peut pas affecter les systèmes n'incluant pas cet élément-là. On aurait pu envisager, de cette façon, que plein de modèles différents aient été mis en place. De ce fait, une faille de sécurité qui aurait touché l'un n'aurait pas nécessairement impacté les autres.

C'était en fait le cas avant l'arrivée du Linky : il existait des tas de modèles de compteurs électriques différents, chacun avec son mode de fonctionnement. Il aurait suffit de reproduire cette situation, en créant plein de modèles de compteurs « intelligents » différents, pour rendre la chose beaucoup plus sécurisée(11). Toutefois, ça aurait sans doute coûté plus cher, donc représenté un « effort » de mise en place supplémentaire. Les gens qui ont décidé de mettre le même Linky partout ont-ils évalué que cet effort supplémentaire ne valait pas le bénéfice obtenu ? Peut-être. J'ai malheureusement tendance à supposer qu'ils ne se sont en fait même pas posés la question, mais ce n'est ici que mon avis.


Ce point – le fait que tous les Linky soient identiques – est ce qui fait toute la différence. J'ai entendu plusieurs fois des personnes me répondre que, pour avoir des infos sur elles, il serait bien plus efficace d'attaquer d'autres choses, comme par exemple le système de vidéosurveillance qu'elles ont elles-mêmes installées à leur domicile (oui, apparemment, des gens font ça).

Cet argument vaut, assurément, si le modèle de menace auquel vous vous intéressez est l'ennemi personnel, qui vous en veut donc à vous spécifiquement. Il est en revanche plutôt fantaisiste dans le cas des attaquants que l'on a envisagé ici : pour le profilage publicitaire comme pour le cambriolage, l'intérêt est de pouvoir obtenir des informations sur beaucoup de gens. Or, tout le monde n'a pas installé de vidéosurveillance ou assimilé. Et parmi les gens qui l'ont fait, la plupart ont sans doute fait des choix différents, faisant qu'il faudrait attaquer chaque installation spécifiquement pour pouvoir obtenir des résultats.

Le Linky apporte assurément des informations moins détaillées, mais le fait qu'il s'agisse d'une même machine dans tous les cas fait, du moins a priori, que les attaques pourront être beaucoup plus généralisées. Un gain par victime légèrement plus réduit, mais pour un effort global considérablement moins grand : raisonnablement, la plupart des attaquants choisirons ça.


De quelles failles de sécurité souffre le Linky ? C'est une question qui demande une analyse précise, qui sort donc du cadre de cet article. On peut vraisemblablement supposer que l'ensemble a été sérieusement étudié avant d'être mise en place, et que ces failles ne sont pas nombreuses et pas forcément faciles à trouver. Mais ça ne veut malheureusement pas dire qu'il n'y a plus aucune faille du tout (relisez la citation en début d'article).

Plusieurs exemples plus ou moins récents ont montré que même des logiciels éprouvés pouvaient parfois être attaqués de manière particulièrement simple. Il serait absurde de penser que les compteurs intelligents résisteront à toutes les attaques qu'ils subiront.

D'autant qu'il n'y a pas que la sécurité des compteurs eux-mêmes en jeu : après l'installation du compteur, Enedis vous encourage à créer un compte sur leurs serveurs pour pouvoir accéder à vos informations. Ce qui veut dire que toutes les attaques classiques à base de vols de mots de passe peuvent être envisagées également.

Notons toutefois qu'Enedis a sans doute du monde pour s'occuper de ses serveurs. Ça ne veut pas dire, là encore, qu'ils resteront hors de portée de toute attaque, mais au moins, on peut être sûr que des gens se chargent de colmater les brèches à mesure qu'on les détecte. Qu'en est-il des compteurs eux-mêmes ?

Lorsqu'une faille est détectée sur un logiciel, l'équipe qui se charge de le maintenir se charge de fournir un correctif. C'est pour cette raison qu'il est essentiel de procéder régulièrement aux mises à jour d'un système : elles contiennent des correctifs de sécurité qui bouchent les anciennes failles et empêchent donc les modes d'attaques connus d'avoir lieu.

Les compteurs Linky disposent-ils d'un mécanisme de mise à jour intégré ? Peut-être, mais c'est peu probable : sur ce type de matériel embarqué, la tendance est généralement à ne mettre que ce qui est strictement nécessaire au fonctionnement. Le compteur est conçu pour émettre des données, pas pour traiter des choses qui viennent de l'extérieur. Mais si tel est le cas, ça signifie que lorsqu'un problème de sécurité sera découvert, le seul moyen de le corriger sera… de venir remplacer physiquement les machines. Autant dire que ça laissera pas mal de temps devant eux aux attaquants.


Bien sûr, et comme je le mentionnais au début, tout ce que je dis là reste très abstrait et hypothétique. Mais ces questions devraient venir en tête à toute personne s'y connaissant un minimum en matière de sécurité informatique : quels types d'attaques sont possibles, quels efforts est-ce que cela engage de la part des attaquants, et quels bénéfices peuvent en être retirés ? Même si l'on peut supposer que des efforts ont été faits pour la sécurité, les caractéristiques générales semblent assez défavorables à Linky.

Mais pour envisager la chose dans son ensemble, reste à regarder le rapport gain/effort de l'autre côté : que peut-on faire pour améliorer les choses, et qu'est-ce que ça va nous demander ? Pour refuser les Linky, il n'y a pas grand chose à faire, malheureusement. Enedis a décidé que tous les compteurs seraient, à terme, remplacés. Ils n'essayent pas encore trop de forcer les choses quand il est nécessaire d'entrer chez les gens pour ce faire, mais dans les immeubles où ils sont situés dans les parties communes, ils ne vous demandent pas vraiment votre avis(12).

Il doit, théoriquement, y avoir la possibilité de régler le truc pour qu'il stocke et envoie moins d'information… à voir quel impact ça aura sur une attaque tierce.

La bonne nouvelle est que nous pouvons encore nous battre pour faire changer la société dans un sens meilleur, et ainsi obliger à ce que ce type de problématiques soient prises en compte. Ça demandera beaucoup d'effort, mais le gain sera également conséquent, parce qu'il ne concernera pas que le Linky, mais également pas mal d'autres trucs.


Mais bref, pour conclure avec le sourire, disons que, quoique les deux soient petits et vêtus de vert, votre sécurité est bien mieux assurée par Link que par Linky.


(Il a plus de cœurs, et un bouclier)


Notez que vous trouverez, si vous en désirez, davantage d'informations sur les compteurs Linky en général dans l'excellent dossier de CanardPC sur la question. Pour aller plus loin (et plus précis) en ce qui concerne les aspects de sécurité évoqués dans cet article, j'encourage vivement les membres anglophones de mon lectorat à suivre cette conférence issue du 28ème Chaos Communication Congress. Oh, et comme il est toujours important de jeter un œil à la source d'origine


Message 2, par SonOfDagobah

§ Posté le 16/02/2017 à 20h 56m 22

«quels bénéfices peuvent en être retirés ?»


Saboter les factures d'une compagnie d'électricité pour que des clients mécontents s'abonnent à une autre.


Déstabiliser un pays lors d'une guerre militaire ou économique.


Recueillir des données pour enrichir un big data.

(Suite au décès inopiné de mon précédent serveur, je profite de mettre en place une nouvelle machine pour essayer de refaire un outil de blog digne de ce nom. J'en profiterai d'ailleurs aussi pour repasser un peu sur certains articles, qui commencent à être particulièrement datés. En attendant, le système de commentaires de ce blog n'est plus fonctionnel, et a donc été désactivé. Désolé ! Vous pouvez néanmoins me contacter si besoin par mail (« mon login at ma machine, comme les gens normaux »), ou d'ailleurs par n'importe quel autre moyen. En espérant remettre les choses en place assez vite, tout plein de datalove sur vous !)