1 points par GN⁺ 2024-08-20 | 1 commentaires | Partager sur WhatsApp
  • À mesure que les installations solaires pour particuliers et entreprises se retrouvent liées aux plateformes de gestion cloud d’un petit nombre de fabricants, rien qu’aux Pays-Bas, une puissance équivalente à au moins 25 réacteurs nucléaires de taille moyenne devient pilotable à distance
  • Les onduleurs assurent le téléversement de statistiques, le contrôle de l’alimentation et les mises à jour de firmware via des applications, des sites web et les serveurs des fabricants, et cette voie centralisée crée un risque d’arrêt simultané de millions d’installations
  • Le GRT néerlandais TenneT estime que le réseau peut absorber une perturbation de 3 GW, mais la capacité solaire installée aux Pays-Bas dépasse 25 GW et un fabricant d’onduleurs contrôle 195 GW dans le monde
  • Alors que les onduleurs individuels et les raccordements physiques sont soumis à des règles, les sites web de gestion centralisée ne sont pas considérés comme faisant partie du réseau électrique et sont traités comme de simples sites web, avec très peu de supervision stricte au titre de la réglementation énergétique
  • Pour que NIS2 et le Cyber Resilience Act réduisent réellement cette faille réglementaire, leur mise en œuvre par les États membres doit explicitement inclure les grands gestionnaires solaires ainsi que les capacités de contrôle à distance et de mise à jour

Les risques pour le réseau créés par la gestion centralisée du solaire

  • Récemment, un hacker néerlandais a pu contrôler 4 millions d’installations de panneaux solaires, et des incidents similaires se sont déjà produits
  • Le risque principal ne vient pas des panneaux solaires pris individuellement, mais de la concentration d’un grand nombre d’installations sur les plateformes de gestion centralisée d’un petit nombre d’entreprises
  • La puissance des panneaux solaires aux Pays-Bas équivaut à au moins 25 réacteurs nucléaires de taille moyenne, mais il n’existe presque aucune loi ni règle en Europe pour ces gestionnaires centralisés
  • Les plateformes de gestion cloud peuvent, par erreur, piratage ou action intentionnelle, interrompre simultanément et de manière durable des millions de panneaux solaires, ce qui pourrait conduire à un effondrement du réseau électrique européen
  • Grâce à la confirmation du gestionnaire de réseau néerlandais TenneT et aux découvertes de hackers éthiques, ce scénario n’est pas purement théorique

Ce qui se passe quand l’équilibre du réseau se rompt

  • Le réseau synchrone continental européen intègre l’essentiel de l’Europe et au-delà, et permet de mutualiser la capacité de milliers de grandes centrales ainsi que des installations éoliennes et solaires
  • Le réseau exige que la puissance injectée et la puissance consommée correspondent en permanence avec précision
    • Si trop d’électricité entre, la fréquence augmente et des surtensions peuvent se produire
    • Si l’électricité manque, la fréquence baisse
    • Pour se protéger, une partie ou la totalité d’un pays peut être isolée, et la remise en service est ensuite difficile
  • Les grands producteurs d’électricité sont soumis à des normes élevées
    • Les centrales sont surveillées
    • Les équipements doivent satisfaire à de nombreuses exigences
    • Le personnel doit disposer des qualifications et certifications appropriées
    • Les incidents peuvent faire l’objet d’enquêtes et d’amendes
  • En revanche, l’énorme puissance solaire européenne agrégée par les plateformes de gestion centralisée n’est pas régulée au même niveau

Domaine régulé : les onduleurs et le raccordement physique

  • Les panneaux solaires ne sont pas directement connectés au réseau électrique : un onduleur s’intercale
    • L’onduleur convertit l’électricité des panneaux dans une forme que le réseau peut accepter
  • Les onduleurs sont soumis à des règles ; par exemple, il existe des conditions imposant à une installation de se déconnecter d’elle-même quand le réseau local est surchargé
    • La règle concernée se trouve dans l’Article 13 des Rules for Generators
  • Les Pays-Bas ont décidé que seuls les onduleurs approuvés par Synergrid en Belgique peuvent être installés
  • Mais selon des personnes du secteur, cette règle n’est pas appliquée et de nombreux équipements sont raccordés au réseau
  • Un onduleur individuel a du mal à causer des dommages majeurs au réseau dans son ensemble ; sous cet angle, c’est donc un domaine relativement maîtrisable

Le vide réglementaire : le cloud des fabricants et le contrôle à distance

  • La plupart des onduleurs sont connectés à Internet directement ou indirectement, communiquent avec le fabricant et téléversent des statistiques sur les panneaux solaires et la production
  • Les propriétaires des panneaux consultent l’état de leur installation via une application ou un site web, en passant par les serveurs du fabricant
  • Techniquement, il n’est pas nécessaire que toutes les fonctions transitent par les serveurs du fabricant, mais beaucoup d’appareils grand public sont conçus ainsi
    • Les caméras de surveillance et les voitures récentes sont des exemples comparables
  • Les applications ou sites web peuvent non seulement afficher l’état, mais aussi permettre d’allumer ou d’éteindre les panneaux
  • Il est aussi possible d’installer automatiquement ou manuellement un nouveau logiciel ou firmware sur l’onduleur via le canal du fabricant
  • Même si l’application utilisateur n’a pas de bouton d’alimentation, cette commande peut être disponible dans les fonctions destinées aux installateurs ou techniciens de maintenance

Comment le contrôle centralisé peut provoquer des dégâts réels

  • Puisque tout passe par le fabricant, celui-ci peut allumer ou éteindre tous les panneaux, et peut même installer sur les onduleurs un logiciel qui injecte un courant incorrect dans le réseau
  • Même sans intention malveillante du fabricant, une simple erreur de mise à jour peut suffire à provoquer un gros problème
    • CrowdStrike installait lui aussi automatiquement des logiciels, et une récente erreur de mise à jour a immobilisé des millions d’ordinateurs dans le monde, avec des jours de rétablissement et des milliards de dollars de coûts
  • Si le fabricant est piraté, une mise à jour logicielle malveillante contrôlée par un attaquant peut être déployée sur les onduleurs
  • Les hackers éthiques néerlandais Wietse Boonstra et Hidde Smit ont réussi à modifier le logiciel dans une installation de panneaux solaires sans l’autorisation du fabricant
  • Si le logiciel est modifié à l’intérieur même des installations, l’impact sur le réseau peut être plus important et le rétablissement beaucoup plus lent

Une échelle qui dépasse les capacités d’ajustement du réseau

  • Le réseau dispose de moyens de production en réserve pour augmenter ou réduire la puissance afin de corriger les déséquilibres
  • Au-delà des réglages fins, il existe aussi des capacités plus importantes destinées à absorber assez rapidement des événements comme la panne d’une centrale
  • Les fabricants d’onduleurs solaires peuvent allumer et éteindre l’alimentation de millions d’installations sur les toits des particuliers et des entreprises
  • TenneT a indiqué que le réseau néerlandais peut absorber une perturbation de 3 GW
  • Or plus de 25 GW de panneaux solaires sont installés aux Pays-Bas, grandes installations comprises, soit bien davantage que 3 GW
  • Un fabricant d’onduleurs contrôle 195 GW dans le monde, dont environ la moitié serait située en Europe

Le vide juridique et les interprétations possibles

  • S’il existait un tableau de commande capable d’éteindre simultanément des dizaines de réacteurs nucléaires, il serait soumis à des réglementations de sûreté et à des inspections ; pourtant les onduleurs domestiques et les panneaux solaires sont traités comme de simples appareils grand public
  • Ce traitement peut se comprendre si l’on considère chaque installation isolément, puisqu’elle a du mal à provoquer de gros dégâts, mais la situation change quand la gestion se concentre chez un petit nombre de fournisseurs
  • Le rapport produit par Secura pour Topsector Energie aux Pays-Bas constitue une ressource importante pour comprendre la situation
  • Sur le terrain, les panneaux eux-mêmes doivent individuellement respecter des règles relativement légères, mais les sites web de gestion des panneaux ne sont pas considérés comme faisant partie du réseau électrique et sont traités comme de simples sites web
  • On pourrait considérer les entreprises de gestion centralisée non comme de simples « gestionnaires de calendriers d’anniversaire », mais comme des gestionnaires du réseau électrique ; cela exigerait toutefois peut-être une lecture très créative du droit existant

Le rôle de NIS2 et du Cyber Resilience Act

  • La nouvelle directive européenne NIS2 est en cours de mise en œuvre dans les États membres et classe l’énergie parmi les “Very Critical Sectors”
  • Lors de la mise en œuvre de NIS2, les États membres doivent préciser que les gestionnaires de panneaux solaires capables d’allumer ou d’éteindre un grand nombre d’installations ou d’y déployer des mises à jour entrent dans son champ d’application
  • Le Cyber Resilience Act cible les appareils comme les onduleurs et les panneaux, mais si ces appareils ne fonctionnent pas sans tableau de contrôle central, application ou service, ceux-ci pourraient aussi être inclus
  • SolarPower Europe estime qu’au sein des grands principes de cybersécurité de NIS2, il faut des exigences spécifiques au secteur solaire
    • Ces exigences devraient s’appliquer aux acteurs qui contrôlent une capacité suffisante pour perturber le réseau électrique
    • Le document correspondant est cette prise de position de SolarPower Europe
  • SolarPower Europe mentionne que l’Australie et l’Allemagne ont déjà des règles, mais indique qu’au moins l’Australie ne les applique pas

Des alternatives pour réduire la connexion centralisée

  • Les panneaux solaires n’ont pas besoin d’être reliés à un cloud centralisé
  • Même sans Internet, il est possible de se connecter directement à sa propre installation pour voir les graphiques de production ; les anciens panneaux de l’auteur, eux non plus, n’étaient pas connectés à Internet tout en fournissant des graphiques
  • Une approche similaire pourrait aussi être préférable pour les caméras, les lave-linge, les pompes à chaleur, les voitures et bornes de recharge, ainsi que les batteries domestiques
  • Les pompes à chaleur, les voitures et bornes de recharge, ainsi que les batteries domestiques ont également la capacité de perturber le réseau électrique
  • Comme étape intermédiaire, on pourrait exiger que le tableau de contrôle se limite à fournir des graphiques et ne puisse pas allumer ou éteindre à distance les panneaux, chargeurs ou batteries

Une régulation explicite à l’échelle de l’UE est nécessaire

  • Quelques grandes entreprises non européennes peuvent contrôler une part significative de l’approvisionnement énergétique sans être soumises au droit de l’énergie
  • Chercher une solution dans le droit existant semble difficile
  • NIS2 et le Cyber Resilience Act sont de bons candidats pour imposer des règles plus strictes aux plateformes de gestion centralisée
  • Préciser dans la mise en œuvre nationale que les acteurs de la gestion centralisée entrent dans le champ d’application réduirait l’ambiguïté
  • Les seules lois nationales pourraient ne pas suffire pour traiter le cas de gigantesques entreprises non européennes ; une coopération au niveau de l’UE est indispensable

1 commentaires

 
GN⁺ 2024-08-20
Commentaires sur Hacker News
  • Dire que les panneaux solaires néerlandais équivalent à 25 réacteurs nucléaires de taille moyenne me paraissait douteux, donc j’ai vérifié : l’auteur regarde la puissance nominale. C’est un indicateur presque inutile pour une source d’électricité très variable. Des panneaux solaires dans un sous-sol sans soleil ont la même puissance nominale que les mêmes panneaux installés dans le désert du Sahara
    Si on regarde la production annuelle réelle, on est plus proche d’une moyenne d’environ 1,5 réacteur nucléaire. En 2023, le solaire néerlandais a produit 21 TWh, tandis qu’en 2021 le nucléaire américain a produit 778 TWh avec 54 réacteurs
    Ça permet de mieux évaluer le risque réel. Je suis d’accord pour dire que la réglementation et les pratiques de sécurité doivent être bien meilleures, mais on pourrait probablement provoquer une panne d’ampleur comparable en envoyant un gros camion dans le bon poteau électrique

    • Du point de vue de la cybersécurité, regarder la puissance nominale est la bonne approche. Quand on modélise une attaque contre le réseau, il faut supposer que l’attaquant choisira le pire moment possible. Pour l’ensemble du réseau visé — aux Pays-Bas, en Californie, en Allemagne, etc. — ce sera un moment de plein soleil sans aucun nuage
      À cet instant, l’attaquant pourrait non seulement injecter toute la production des panneaux dans le réseau, mais aussi faire passer les batteries connectées en mode décharge complète avec un nouveau firmware contournant les sécurités. Dans le pire des cas, l’attaquant pourrait chercher à endommager physiquement non seulement les onduleurs, mais aussi les batteries, les panneaux solaires, les fusibles et les postes électriques. Si les onduleurs brûlent et déclenchent des incendies, pour l’attaquant ce n’est pas un bug, c’est une fonctionnalité
      Donc on ne parle pas seulement de l’équivalent de 25 réacteurs nucléaires de taille moyenne, mais probablement de bien plus, et ce chiffre augmente exponentiellement chaque année à mesure que la transition vers les renouvelables progresse
      C’est parmi les révélations de sécurité les plus effrayantes que j’aie vues récemment. Bien plus grave qu’un zero-day sur iPhone
      Un mauvais bug iPhone peut tuer quelques personnes parce qu’elles ne peuvent pas passer un appel d’urgence, et causer dans le monde entier plusieurs milliards de dollars de pertes économiques dispersées. Mais cet ensemble de bugs pourrait détruire des postes électriques pendant une canicule et provoquer des coupures pour des dizaines de milliers à des millions de foyers, d’entreprises et d’usines, avec potentiellement des dizaines de milliers de morts. Les dégâts économiques seraient bien plus importants et probablement concentrés dans une région donnée
    • La puissance nominale des panneaux solaires correspond généralement aussi à leur sortie pendant la période de production maximale. Si un attaquant veut maximiser l’impact en coupant tous les onduleurs en même temps, c’est précisément à ce moment-là
      Dans une attaque ou une panne, l’indicateur important n’est pas l’énergie totale produite, mais la puissance instantanée, car c’est ce que la réserve tournante des autres centrales doit absorber quand une source de production disparaît soudainement
    • Pour le mode de défaillance décrit dans l’article, ce qui compte n’est pas la production annuelle mais la puissance. En puissance, des pics solaires d’été atteignant 20 GW sont très courants. On peut par exemple regarder https://energieopwek.nl/ à la fin juillet de cette année
      La puissance nette de Borssele, la centrale nucléaire de taille moyenne citée dans l’article, est de 485 MWe. Donc oui, il est correct de parler de plus de 25 réacteurs nucléaires de taille moyenne
    • Si je me souviens bien, même si c’est un peu flou, les États-Unis ont tendance à construire des réacteurs absurdement grands, alors qu’en Europe l’environnement réglementaire est plus favorable, donc on construit plutôt des réacteurs plus petits et plus nombreux
      En plus de ce qu’ont dit les autres, ça peut aussi créer ici un écart d’environ un facteur 2. L’article parlait d’ailleurs de réacteurs “de taille moyenne”, donc on peut peut-être même partir sur un facteur 3
    • Les opérateurs de réseau ne prennent-ils pas en compte la latitude lorsqu’ils fixent la puissance de pointe attendue ? Sinon, les propriétaires installeraient des convertisseurs plus gros et plus chers que nécessaire, donc ils doivent bien avoir au moins une estimation approximative. Ce serait encore mieux en tenant compte de l’angle, mais la latitude par région est une donnée très connue et facile à trouver, donc au minimum ça devrait être pris en compte
      Je comprends l’argument selon lequel ce n’est pas une comparaison strictement un pour un. Malgré tout, lors d’une journée d’été sans nuages, la puissance réelle sera proche du chiffre annoncé, hormis la dégradation et les contraintes de capacité. Et comme les Pays-Bas sont petits, il n’est pas improbable que tout le pays ait en même temps une journée sans nuages
      En été, on peut s’attendre à un certain niveau d’ensoleillement et mettre en maintenance une partie des centrales à gaz utilisées en hiver, ou à l’avenir partir du principe qu’on produira de l’hydrogène en été. Cela dit, un piratage serait probablement un problème temporaire, donc je ne m’attends pas à une difficulté majeure sur ce point
  • Je travaille sur des systèmes cloud IoT. Si on a imposé un passage par les serveurs du fabricant, c’est parce que ni les consommateurs ni les installateurs n’ont la moindre expertise pour configurer leur propre réseau ou des appareils accessibles depuis l’extérieur. Et ils veulent aussi pouvoir accéder à leurs panneaux depuis l’extérieur de la maison
    Moi je peux le faire, et la plupart des lecteurs de HN aussi, mais pas le consommateur moyen ni l’installateur. C’est triste, mais c’est la réalité

    • Le cloud pourrait fonctionner comme un simple relais TURN et ne relayer que du trafic chiffré de bout en bout. Dans ce cas, le pire qu’il pourrait faire serait de refuser le service de gestion à distance, et même là la gestion locale continuerait de fonctionner. Comme il n’aurait ni les clés d’authentification ni les clés de chiffrement, il ne pourrait pas non plus envoyer directement des commandes de contrôle aux équipements
      D’un point de vue programmation, c’est aussi plus simple. Pas besoin d’avoir séparément un protocole de synchronisation cloud et un protocole de contrôle local : il suffit de créer un seul protocole local et de le faire transiter via un cloud stupide uniquement quand la connexion directe n’est pas possible
    • Ce type d’installation de production ou de site repose généralement sur des protocoles IEC industriels et des contrôleurs SCADA, à un niveau bien plus bas que ce que fournit un prestataire cloud IoT
      J’ai déjà conçu un contrôleur pour des batteries en conteneur de 40 pieds, et je n’avais pas reçu une API batterie de Hitachi. Il a fallu tout écrire nous-mêmes
    • Pourquoi ne pas autoriser à la fois un chemin cloud et un chemin de contrôle local ? Ceux qui le peuvent et le veulent pourraient simplement utiliser le contrôle local
    • La vraie question, c’est pourquoi il y a un plan de contrôle à cet endroit pour commencer
      Je comprends qu’on veuille voir les données de comptage en temps réel, mais pouvoir contrôler les panneaux à distance ressemble à un incident de sécurité annoncé d’avance. Je suis plutôt soulagé d’avoir un onduleur qui n’est pas connecté à Internet
    • Pour parler de l’IoT en général, je pourrais le faire, mais je n’en ai tout simplement pas envie. Je préfère consacrer ce temps à autre chose. Bien sûr, comme une installation solaire est une source d’électricité, j’ai essayé d’en apprendre un maximum à ce sujet, mais pour le reste ce n’est pas le cas
  • Je vis totalement hors réseau pour l’électricité comme pour l’eau, et ça m’a vraiment agacé que le système de monitoring livré avec l’onduleur ne soit accessible qu’en ligne. Même avec le réseau, l’app ne fonctionne pas
    J’ai contourné le problème en branchant un Raspberry Pi pour lire les données depuis là, mais si on coupe l’onduleur d’Internet, il crée un nouveau réseau. Résultat, il y a maintenant en permanence un réseau public impossible à désactiver, en plein milieu de nulle part
    J’envisage de l’ouvrir pour dessouder le module WiFi, mais comme je compte le remplacer d’ici quelques années, je n’ai pas envie de le griller par erreur

    • Le côté haute tension doit être séparé de l’électronique, donc en faisant attention ce ne devrait pas être dangereux
      Débrancher seulement l’antenne du module WiFi pourrait suffire. Ça aiderait à empêcher la connexion au réseau
    • Je serais curieux de savoir quel onduleur tu utilises. Des produits comme ceux de Fronius ont une carte réseau amovible
    • On ne pourrait pas simplement fabriquer des choses et les vendre ?
  • Il faut faire attention avec des formulations comme « 0.002MW - petit lot de normes techniques, sans diplôme ni certification requis ». C’est encore plus vrai quand on cherche à attirer des politiques et des non-techniciens
    La catastrophe actuelle des infrastructures IT, qui relève presque de la négligence criminelle, est en grande partie le résultat de systèmes conçus et imposés par des diplômés, y compris issus d’universités prestigieuses. L’un des posts les mieux classés sur HN le week-end dernier racontait qu’un conseiller gouvernemental, ancien dirigeant d’une des entreprises tech les plus célèbres, avait conseillé à des étudiants de Stanford d’agir de manière contraire à l’éthique, puis de gagner assez d’argent pour engager des avocats et faire disparaître les conséquences
    La plupart des certifications actuelles sont aussi des certifications individuelles, et s’apparentent généralement à de la formation éditeur sans grande valeur et à de la dépendance. Ce sont les mêmes personnes qui assemblent et exploitent les systèmes d’éditeurs relevant presque de la négligence criminelle. Même les certifications de pratiques IT ressemblent davantage à du théâtre de conformité permettant d’échapper aux responsabilités qu’à une véritable garantie de compétence suffisante
    Pour commencer à corriger cela, je pense qu’il faut obliger les entreprises à rendre des comptes. CrowdStrike n’est pas le pire exemple, mais c’en est un récent. Si cela était traité comme de la négligence et qu’on leur faisait assumer tous les coûts, le cours de l’action pourrait s’effondrer, et la direction comme le haut de l’organisation devraient craindre la prison pendant qu’une enquête sérieuse est menée
    Quand on verra que les règles du jeu ont changé, les investisseurs et dirigeants d’autres entreprises commenceront eux aussi à réaligner leurs intérêts. Ensuite, tout l’organigramme et les pratiques de l’organisation pourraient être profondément bouleversés. Les entreprises réaliseraient alors qu’elles doivent tuer la culture du job hopping, du développement guidé par le CV, des clubs sociaux LeetCode et des fiefs privés façon boutique de vendeurs IT
    Certaines entreprises pourraient paniquer puis disparaître. Trop de gens sont adaptés à l’ancien jeu, au point d’avoir l’impression que, dans ce nouveau jeu de responsabilité, leur seule option de carrière est de faire semblant jusqu’à ce que ça passe — et, paradoxalement, ils pourraient entraîner leur entreprise dans leur chute

    • La punition n’est pas la réponse. Elle ne ferait que chasser les gens compétents hors du secteur. La punition pousse à ne jamais reconnaître ses erreurs, à ne pas les corriger, et à les dissimuler
      La punition des erreurs a conduit à la catastrophe de Tchernobyl
    • Quelqu’un parlait plus bas d’alignement, mais le fond du problème est qu’il existe une énorme discontinuité de marché entre « faire ce qu’il faut, vraiment vraiment » et faire ce qui est rentable. À cause des effets de réseau
      Il semble y avoir de la concurrence entre fournisseurs cloud/IaaS, parce qu’il faut réellement construire des datacenters et des réseaux, ce qui impose un certain plancher de prix. Mais dans le domaine de l’« antivirus », CrowdStrike a pu en pratique dominer le marché, et pour les organisations et clients en aval il est difficile de justifier soit de véritables sauvegardes hot spare indépendantes, soit des procédures spéciales consistant à faire d’abord passer les mises à jour de signatures CS par un environnement de test
      Les symptômes culturels décrits en détail ressemblent en réalité à une bulle qui flotte au-dessus d’une activité économique oscillant entre plusieurs optimums coût-bénéfice, autrement dit à une inefficacité économique tolérée
      Il est très difficile d’en sortir. L’IT est globalement assez standardisée pour que les entreprises ayant besoin d’un certain type de service IT finissent par choisir sur le critère du coût, et par choisir ce que choisissent les autres entreprises de leur secteur. Même quand plusieurs fournisseurs existent, ils convergent souvent vers la même technologie. Parce que c’est du logiciel. Cela réduit le risque financier individuel des clients, mais augmente en réalité le risque mondial et systémique
    • Autrement dit, les certifications sont très souvent et très facilement un encouragement à l’apprentissage par cœur. Il n’y a que de la mémorisation, et aucun raisonnement de haut niveau n’est transmis
      Une connaissance sans raisonnement est une voie royale vers la bureaucratie
  • C’était un texte qui ouvre les yeux. L’un des arguments en faveur des énergies renouvelables, au-delà de la réduction des émissions, était leur potentiel de décentralisation de la production d’électricité. L’idée était de rendre le système plus résilient et de démocratiser les moyens de production
    Mais ce texte montre que nous avons involontairement introduit un nouveau goulet d’étranglement. C’est encore plus inquiétant si l’on tient compte du contexte sécuritaire mondial

    • C’est presque exactement ce qui s’est passé sur Internet. On pensait que « tout était distribué », mais aujourd’hui plus de 80 % du trafic passe par Cloudflare et plus de 90 % des e-mails proviennent de deux fournisseurs
    • Le solaire n’est pas synonyme d’énergie renouvelable
      Le caractère renouvelable et le caractère distribué sont deux axes différents
    • À la base, cela n’avait pas beaucoup de sens. Quelle que soit la technologie utilisée, rien n’échappe réellement aux économies d’échelle
    • Le solaire distribué ne peut pas fournir de l’électricité à grande échelle, et même à l’échelle d’un foyer ce n’est pas simple. Il faut une maison avec beaucoup de terrain pour supporter le nombre de panneaux nécessaire. Une maison moyenne devra toujours consommer de l’électricité produite ailleurs
    • Le solaire a ouvert, selon l’endroit où l’on vit, une voie vers la semi-autonomie, mais les classes dirigeantes détestent profondément cela. Elles ne veulent pas de citoyens, elles veulent des esclaves, et maintenir les gens liés à un service est une bonne façon de créer des esclaves incapables de se rebeller
      C’est pourquoi, au lieu de promouvoir l’autoconsommation et les systèmes semi-autonomes, on pousse les déchets de connexion au réseau et au cloud. L’objectif est de vous lier au service de quelqu’un pour faire de vous cet esclave. « En 2030, vous ne posséderez plus rien » est déjà une réalité dans les voitures modernes. Le fabricant dispose de droits d’accès bien supérieurs à ceux du propriétaire nominal, via sa connexion à l’OEM, et c’est pareil pour les déchets récents IoT et cloud+mobile. Les gens ne comprennent pas qu’ils ne possèdent rien jusqu’à ce qu’il soit trop tard
      Autre exemple simple : la plupart des banques du monde disposent de standards ouverts pour l’échange automatisé de transactions interbancaires. Dans l’UE, c’est l’OpenBank API, avec des flux XML et JSON signés. Il n’y a aucune raison d’empêcher les clients d’utiliser directement ces API depuis un client desktop personnel. Toutes les banques que je connais bloquent cet usage. Résultat, on ne peut pas conserver sur son propre matériel tout l’historique des transactions signé par la banque, et on n’a donc rien en main. En cas de gros problème, on n’a aucun moyen de prouver ce que la banque détenait ni ce qu’elle a fait avec l’argent. Avant, il y avait les documents papier ; aujourd’hui, des XML/JSON signés, bien plus difficiles à falsifier, sont supérieurs au papier, mais comme 99 % des gens ne doivent rien posséder, cette possibilité a disparu
      Il y a aussi les voitures connectées avec une SIM. Mais au lieu de fournir une API et un client directs, ou une WebUI, au propriétaire nominal, il faut passer par l’OEM. En pratique, c’est donc l’OEM le véritable propriétaire. On ne peut même pas déconnecter la voiture. Dans l’UE, il est même illégal de déconnecter une voiture neuve, parce que le service d’urgence e-call doit être activé sur tous les véhicules neufs
      Et ainsi de suite
  • Ce texte répète qu’il faudrait des diplômes, certificats et autres bouts de papier rituels pour les responsables
    Se concentrer sur les qualifications sur le papier pour réduire les risques ressemble à une approche très européenne. Cela ne veut pas dire que c’est faux, simplement que ce n’est pas mis en avant avec la même insistance ailleurs. Cela semble bien convenir à des secteurs lents avec de fortes attentes en matière de sécurité, mais le monde du solaire et de l’éolien n’est pas un secteur lent

    • Bonne remarque. Il est probable qu’on soit trop focalisé sur l’administratif ou sur une « conformité mesurable »
      D’après mon expérience dans ce domaine, le vrai problème est un manque de compréhension et de compétences techniques qui s’étend largement jusqu’au domaine du « numérique ». Ces produits sont généralement développés par des gens du monde de l’« électricité », qui ne se rendent pas immédiatement compte qu’un RSA 512 bits est une #badthing et n’est pas suffisant pour protéger un système énergétique agrégé contrôlable depuis un seul point
      Cela ne demande pas forcément un diplôme ou une certification formels. Des connaissances pratiques et de l’expérience de terrain sont bien plus utiles
      Dès qu’un produit a une interface réseau ou exécute un firmware programmable, il faudrait parler d’A/B boot, de signatures, de révocation de clés et d’agilité cryptographique permettant des algorithmes cryptographiques résistants au quantique. Mais dans la réalité, l’objectif est plutôt de développer à bas coût une application mobile contrôlée via l’API backend serveur la moins chère possible du fournisseur, afin de mettre le produit rapidement sur le marché
      Sans même parler de la mentalité des systèmes embarqués qui consiste à ne pas corriger ni maintenir à jour. Les systèmes embarqués sont l’endroit où l’on peut encore croiser aujourd’hui du Linux 2.4 ou 2.6. Les fournisseurs expédient en général quasiment tel quel le code que le fournisseur du chipset CPU leur a jeté via un board support package
      Comme tu l’as dit, beaucoup de ces problèmes semblent être de nature commerciale et dictés par le prix, et il paraît peu probable qu’ils soient résolus par davantage de paperasse
  • L’UE n’a-t-elle pas d’exigences réglementaires, notamment en matière de cybersécurité, pour les centrales électriques de quelque type que ce soit ?
    Chez moi comme au travail, je n’introduis dans aucun environnement de systèmes nécessitant une connexion de données tierce
    Il y a eu trop d’exemples où le fournisseur, le cloud ou un autre composant imposant cette connexion a échoué pour diverses raisons. Par exemple Cisco Spark Board, Xerox ConnectKey, Google Cloud Print, les appareils connectés WeWork, Lattice Engines, MS Groove Music Pass, Shyp, Adobe Business Catalyst, Samsara, Zune, FuelBand, Anki Vector Robot, Google Stadia et Pebble
    Cela dit, je pense qu’il faut être très prudent avant de réglementer spécifiquement le solaire

    • Comment pourrait-on concrètement vérifier et certifier la cybersécurité d’un produit ? Même les cartes à puce de paiement contiennent parfois des backdoors de maintenance non malveillantes. Il semble qu’il y ait très peu, voire aucune, base théorique académique pour l’ensemble de la sécurité logicielle
    • Les smartphones seraient donc une exception ?
  • L’installateur avait posé un onduleur SolarEdge, et j’ai eu pas mal de mal à faire remonter les données dans Grafana sans le connecter au cloud. En tant qu’ingénieur réseau, j’y suis arrivé, mais cela devrait être plus simple
    Je suis d’accord pour dire qu’il devrait y avoir une réglementation interdisant l’administration à distance et n’autorisant à distance que la consultation de données en lecture seule. On pourrait même quasi isoler l’onduleur de la passerelle Internet avec une liaison RS232 unidirectionnelle où l’onduleur n’écrit que dans un seul sens. Si l’opérateur du réseau doit couper le solaire, il devrait devoir installer un relais contrôlé par sa propre infrastructure

  • Le fait de pouvoir installer automatiquement ou manuellement, via le fabricant, un nouveau logiciel sur l’onduleur — autrement dit un firmware — constitue comme toujours une vulnérabilité dès lors qu’il permet des mises à jour à distance. Quand est-ce que les gens l’apprendront ? Les mises à jour ne devraient être possibles que lorsqu’un interrupteur physique est présent sur l’appareil. Un interrupteur physique, pas logiciel. S’il est sur « arrêt », aucune mise à jour ne devrait être possible
    Le vecteur d’attaque le plus destructeur n’est-il pas l’installation à distance de logiciels malveillants ? Avec un interrupteur matériel, un tel malware ne pourrait pas survivre à un redémarrage de l’appareil
    Je me souviens de l’époque où les disques durs avaient un cavalier d’autorisation d’écriture. Une fois la sauvegarde faite, on retirait le cavalier, et il devenait impossible d’écraser une sauvegarde précieuse, par accident ou de manière malveillante

    • Cette approche ne bloque pas les attaques de la chaîne d’approvisionnement
  • En résumé, la plupart des panneaux solaires grand public et professionnels sont gérés de façon centralisée par un petit nombre d’entreprises, dont la plupart se trouvent hors d’Europe. Rien qu’aux Pays-Bas, ces panneaux solaires produisent l’équivalent d’au moins 25 réacteurs nucléaires de taille moyenne. En Europe, il n’existe pratiquement aucune règle ni loi pour encadrer ces gestionnaires centralisés. Il en va de même pour les pompes à chaleur, les batteries domestiques et les chargeurs de VE
    Cela ressemble beaucoup à l’IoT, mais avec des enjeux bien plus importants. J’ai trouvé que cet article montrait bien le problème de confiance entre les onduleurs et le réseau électrique
    Je me demande s’il existe un moyen de sécuriser le réseau au niveau matériel, au-delà du simple fait de croire que les onduleurs des clients fonctionnent correctement. Question naïve, mais un équipement de l’opérateur du réseau pourrait-il empêcher les surintensités ou une fréquence mal réglée ?

    • Le fusible du fournisseur d’électricité, entre le bâtiment et le système de distribution 240 V, devrait empêcher les surintensités. Si la fréquence ou la phase de l’onduleur est incorrecte, c’est probablement l’onduleur qui lâchera en premier, à moins que le réseau ne soit déjà hors service
      En revanche, il n’existe pratiquement aucun moyen pratique d’empêcher une surtension. Donc un contrôleur malveillant qui prendrait le contrôle de tous les systèmes solaires d’une rue pourrait causer des dégâts assez importants aux appareils des consommateurs
      Du point de vue du fournisseur d’électricité, le problème est qu’on ne peut plus garantir qu’il est sûr d’intervenir sur le côté distribution 240 V même après avoir coupé les deux disjoncteurs de part et d’autre du transformateur de distribution. Par conséquent, toute intervention sur le réseau de distribution 240 V doit partir du principe que le système est sous tension
      En fin de compte, si nécessaire, la réglementation sera mise à jour pour traiter les installations solaires domestiques à grande échelle