Boîtiers Linky : Quid de la sécurité ?
3 ans après le début de l’installation du compteur d’Enedis, les arrêtés municipaux et mobilisations contre l’appareil continuent de fleurir. Ondes, incendies, augmentation des factures, vie privée… Les raisons invoquées par les anti-Linky ne manquent pas. Mais qu’en est-il de son architecture et qu’avons-nous à craindre réellement ?
Recontextualisons. La société Enedis (ex-ERDF) est un distributeur d’énergie qui convertit la haute en basse tension et l’achemine au consommateur. En 2007, dans le cadre d’une directive européenne visant à augmenter le nombre de ces systèmes, Enedis lance le projet Linky qui vise à équiper tous les foyers français de compteurs intelligents.
Le 1er décembre 2015, les premiers boîtiers Linky sont installés. L’objectif fin 2018 étant de 18 millions de compteurs installés sur les 31 millions au total pour 2021, le projet est donc bien entamé. Pourtant cette mesure est la cible de nombreuses contestations et résistances, et ce depuis son annonce.
Les diverses polémiques gravitant autour du Linky n’étant pas nécessairement le propos de cet article, citons simplement un rapport de la Cour des comptes :
L’organisation, telle qu’elle est définie, privilégie la satisfaction des besoins du distributeur mais ne prend finalement en compte que partiellement les attentes de l’usager [NDA : sécurité matérielle, protection des données personnelles, sécurité informatique, questions sanitaires autour des ondes électromagnétiques, droit de la consommation, maîtrise de la demande d’énergie] : si Linky peut apporter beaucoup aux différents acteurs, les préoccupations du consommateur d’électricité ne semblent toutefois pas être au cœur du dispositif.
Ceci étant dit, on commencera par rappeler les enjeux de la sécurité de ce système. Nous nous intéresserons ensuite à l’architecture derrière le compteur de la discorde, tout comme on l’aurait fait pour un autre système. Enfin, on abordera la question sous l’angle de son cycle de vie.
Pourquoi c’est important
Mais pourquoi la sécurité du Linky serait-elle importante au fait ? Une des facettes largement médiatisée est la protection de la vie privée des utilisateurs. L’intérêt de connaître les heures de présences et habitudes de millions de Français dans leur domicile est évident. À titre d’exemple, un groupe de hackers allemands avait réussi en 2012 à exploiter une faille dans le protocole de communication d’un compteur intelligent pour déchiffrer les messages envoyés à travers le réseau. La récupération de données privées transitant par le compteur avait permis une série de déductions : nombre d’ordinateurs et de téléviseurs dans la maison et même chaîne regardée. Ils avaient été également en mesure de corrompre des données envoyées à l’opérateur, faisant passer la consommation de la maison comme nulle pendant deux mois.
Une des nouveautés avec Linky est la possibilité pour Enedis de couper à distance l’électricité des mauvais payeurs. Si cet usage se comprend (quoi que discutable dans le cadre des déconnexions d’utilisateurs en cas de pointe de consommation), on peut raisonnablement craindre les conséquences d’un accès au système par un groupe malveillant. Avec un accès au compteur de tous les Français, on ouvre une nouvelle façon d’opérer un blackout généralisé. Tempérons ces propos en rappelant que ce risque existe déjà dans une prise de contrôle des postes de transformation.
Alors il y a-t-il des failles dans Linky, ou du moins, où les chercher ?
Sécurité de la technologie
En terme d’architecture, les choix matériels réalisés ont le mérite de ré-utiliser au maximum les infrastructures existantes et d’apporter un niveau de sécurité honnête :
- Les échanges du compteur sont sécurisés avec l’algorithme de clé symétrique AES-128 bits en mode d’opération GCM qu’on peut retrouver dans la norme IEEE 802.1( le standard de sécurisation MAC ). Autant dire que si le protocole venait à être cassé, il est possible que les Linky soient le cadet de nos soucis.
- Le signal CPL n’est a priori pas piratable (cf. point précédent). Les puissances utilisées étant faibles, il est à la rigueur brouillable mais rien d’exploitable à des fins malveillantes (si ce n’est empêcher le compteur de fonctionner).
- Le signal GPRS Edge entre le concentrateur et la SI Linky. Bien qu’une attaque sous cet angle semble compliquée, elle reste tout à fait envisageable. Premièrement, cette connexion radio 2,5G peut être détournée si mal configurée. De plus, depuis 2008, des vulnérabilités sur le protocole de téléphonie SS7 sont régulièrement dévoilées et exploitées. Ces attaques ont déjà montré leur potentiel, que ce soit pour des hackers isolés (vol de données bancaires) ou pour des institutions étatiques (perturbation du réseau téléphonique d’un autre pays), et ne doivent donc pas être sous-estimées.
- Le SI Central : Il est enfin raisonnable de penser que le point de faiblesse principal de l’architecture Linky est le SI central d’Enedis. Pourquoi essayer d’accéder à 31 millions de compteurs quand toutes les courbes de charges et accès sont disponibles dans une seule agence ? Si les intrusions dans ce genre de structures se sont fait discrètes jusqu'à présent, peut-être que l’intérêt porté à des sociétés comme Enedis augmentera dans les années à venir.
Sur le papier donc, et de façon assez peu surprenante, il n’y a pas de faille évidente sur le choix des technologies utilisées. C’est peut être dû au fait que, justement, du papier concernant Linky on n’en trouve pas tellement. Le manque de documentation sur les protocoles employés et données envoyées est frappant à l’heure où l’Open Source apporte des garanties de sécurité imparfaites mais également indéniables. De plus, la publication du code source impose pour les entreprises une rigueur exemplaire dans la qualité du travail, celui-ci étant exposé aux experts de la communauté. En obtenant la bénédiction de ces derniers, Enedis gagnerait en crédibilité et pourrait ainsi faire changer l’opinion publique qui se base aujourd’hui uniquement sur les “on dit”. C’est donc un choix difficilement justifiable que fait Enedis de jouer la carte de l’obscurité.
On peut cependant se pencher sur les procédures de déploiements et le cycle de vie du compteur.
Cycle de vie du compteur
Production du compteur
6 constructeurs différents ont été choisis par Enedis en 2014 pour produire l’intégralité des compteurs d’ici 2021. En 2016, ce ne sont pas moins de 16 entreprises qui sont chargées de la production. Il est précisé que si les fonctionnalités et apparence des boîtiers sont les mêmes, leur architecture interne variera d’un fabricant à l’autre.
Bien que l’ANSSI assure que les lignes de production soient totalement automatisées pour garantir un niveau sécurité relatif au risque d’intrusion, les procédés de fabrication restent secrets.
Installation du compteur
Enedis fait appel à de nombreux prestataires pour réaliser l’installation des compteurs. À quelles informations ces « Partenaires Enedis pour Linky » (qui ne sont donc pas des employés de la société) ont t-ils accès ? À la fin de la procédure d’installation électrique, le technicien branche en effet son PDA au compteur : Possible faille de sécurité en ce point ? Ici, les sources divergent :
Côté installateurs, on nous affirme que non. Enedis montre dans cette vidéo que cette étape n’est là que des paramétrages mineurs (l’heure, lecture du numéro de série et test de l’organe de coupure). La filiale énergie de Wavestone déclare que “cette étape ne vise qu’à paramétrer automatiquement les détails du contrat et notamment la grille tarifaire appliquée”. De l’autre côté, dans son dossier spécial (pourtant) pro-Linky, Canardpc nous indique : “[Les clés de sécurité] sont configurées en dur lors de l’installation du compteur par le technicien et ne sont pas échangées par la suite”. On illustre encore une fois le manque de transparence ambiant qui ne vient pas détendre l’atmosphère.
Même si on a encore peu d’informations ou d’expériences rendues publiques dans le cas des Linky, on peut se tourner vers l’Espagne lors de la conférence Black Hat Europe 2014. Deux hackers ont démontré qu’il était possible de lire la clé AES contenue dans le processeur au moment de la mise en route d’un compteur intelligent espagnol. Il serait malvenu de soupçonner une faille similaire chez Linky, la vulnérabilité étant purement matérielle. Mais notons qu’avec la diversité des industriels en charge du projet, il sera justement difficile de contrôler précisément chaque composant de chaque compteur.
Lors de l’utilisation
Que ce soit clair : en cas d’accès physique au compteur, c’est Game-Over en ce qui concerne la confidentialité de la consommation. L’appareil (c’est voulu dans sa conception) propose en effet une interface TIC pour en extraire les données. Quant aux clés de chiffrement, il serait également possible de les extraire du compteur. Cependant, une telle opération est complexe et le seul intérêt théorique serait plus vis-à-vis de consommateurs peu scrupuleux qui souhaiteraient “simuler” le comportement de leur compteur (et déclarer une fausse facture). En d’autres termes, le scénario de l’attaque sur l’homologue allemand de Linky en 2012 (dont le fonctionnement passe en plus par internet) n’est pas applicable.
Une fois de plus, les regards devraient plus se porter sur le niveau de sécurité du SI d’ERDF plutôt que sur les petits compteurs verts.
Fin de vie
La durée de vie de moins de 20 ans du Linky (contre en moyenne 40 pour un compteur traditionnel) fait partie des arguments forts qui s’oppose à son installation. Si on met de côté les aspects économiques et écologiques de la question, quelles problématiques de sécurité sont liées au recyclage ? Si les choses sont faites correctement, il n’y a pas trop à s’inquiéter. Il faut bien comprendre qu’Enedis, en sa qualité de gestionnaire du réseau, est censé s’occuper du recyclage des compteurs. Ceux-ci ne devraient alors pas finir dans une poubelle et les données qu’ils contiennent resteraient dans la boucle contrôlée par Enedis.
Conclusion
Commençons par rappeler que vos goûts, votre localisation, votre cercle de connaissances n’ont aucun secret pour Facebook ou Google. Devons-nous craindre par dessus tout la possible atteinte à la vie privée causée par Linky ? Il n’en reste pas moins que cet appareil soulève des questions bien plus graves directement liées à la sécurité nationale. Pourtant, au même titre que la question sanitaire, trop peu d’informations à ce sujet ne nous parviennent.
Autre problème, pas si éloigné et pas des moindres : le flou gardé sur les choix technologiques. La sécurité par l’obscurité peut être justifiée dans le cas de gros acteurs type GAFA, disposant des moyens pour sécuriser leurs services et infrastructures. Cette approche est beaucoup moins recommandée pour le commun des sociétés. Choix que fait pourtant Enedis.
De fait, quelle conclusion tirer au vu de nos observations ? Il serait confortable à la fin de cet article de vous fournir une réponse nette, mais beaucoup de militants se chargent déjà d’être obtus dans leurs réponses et analyses. Nous vous laisserons le soin de vous faire un avis à la lumière des (trop) rares informations disponibles sur le sujet.
Sources
Dossier Linky de canardpc : https://www.cpchardware.com/download/hw28_linky.pdf
OpenSource : L’innovation et la sécurité par la transparence :
Smart Hacking for Privacy : Chaos Computer Club https://fahrplan.events.ccc.de/congress/2011/Fahrplan/events/4754.en.html
