Vangelis Stykas Les vulnérabilités cybers menaçent les véhicules électriques et les systèmes photovoltaïques

Vangelis Stykas est le directeur technique et co-fondateur d’Atropos, une entreprise de pentesting spécialisée dans les API IoT. Récemment, Atropos s’est également concentrée sur la sécurité des véhicules électriques (VE) et des systèmes photovoltaïques (PV) ainsi que leurs connexions cloud.

Vangelis Stykas s’est récemment entretenu avec InCyber News pour discuter de cette recherche cruciale, en soulignant la nécessité de réglementations, de protocoles de sécurité renforcés et de mesures proactives de cybersécurité pour prévenir des perturbations massives de notre infrastructure critique. Avec le scénario d’Horus, il avertit qu’une cyberattaque ciblée pourrait théoriquement plonger l’ensemble du continent européen dans le noir et garantir la fiabilité des infrastructures d’énergie renouvelable et de recharge.

Lors de votre enquête, quelles sont les principales vulnérabilités que vous avez identifiées dans les systèmes VE/PV ? Et les plus critiques ? Y a-t-il eu des vulnérabilités particulièrement inattendues ?

Vangelis Stykas : De nombreuses vulnérabilités ont été trouvées, certaines très critiques. J’ai pu obtenir un accès de niveau administrateur sur plusieurs plateformes. Avec cet accès, je pouvais pousser des mises à jour de firmware à distance, potentiellement « casser » les chargeurs photovoltaïques et les VE et, dans certains cas, les faire prendre feu.

Malheureusement, cela n’était pas inattendu car j’avais déjà rencontré ce type de vulnérabilité auparavant. Ce qui était inattendu, c’était la facilité avec laquelle ces vulnérabilités ont été trouvées et l’ignorance générale à leur sujet. La plupart des vulnérabilités que j’ai identifiées sont toujours présentes, et malheureusement, quelqu’un les exploitera un jour.

Y a-t-il des fabricants d’onduleurs PV/chargeurs de VE que vous considérez plus sécurisés et fiables que d’autres ? Y a-t-il des onduleurs/chargeurs que vous avez essayé d’infiltrer mais sans succès ?

Vangelis Stykas : Il y en a plusieurs que je n’ai pas pu pirater, heureusement ! Les vulnérabilités apparaîtront toujours. Ce qui importe, c’est comment on réagit et la rapidité avec laquelle elles sont corrigées. C’est ce qui fait un bon fournisseur fiable.

Ce n’est pas une question de savoir si cela se produira, mais quand cela se produira et comment on réagira à ce moment-là.

Quelles ont été les réactions des différents fabricants lorsque vous les avez alertés ?

Vangelis Stykas : Deux des cinq fabricants de photovoltaïques [SOLARMAN en Chine, SOLAX en Chine, SUNSYNK en Chine, GROWATT en Chine et INGECON en Espagne] ont répondu et corrigé les vulnérabilités après mes interventions. Les autres m’ont ignoré. Tous ont accusé réception de mon email, mais seulement deux ont agi.

Les fabricants de chargeurs de VE [SHENZHEN en Chine ; GROWATT en Chine ; EVBOX aux Pays-Bas ; WALLBOX en Espagne ; EOHUB au Royaume-Uni ; CHARGEPOINT en Californie] ont tous répondu à un moment donné. Au final, ils ont tous corrigé les vulnérabilités — certains très rapidement, d’autres après avoir été contraints de le faire. Avoir des vulnérabilités est inévitable ; ce qui importe, c’est comment on les gère et les corrige.

Que signifient ces vulnérabilités pour la stabilité des réseaux électriques nationaux ?

Vangelis Stykas : Il existe une étude approfondie appelée le « scénario Horus ». Willem Westerhof a fourni une preuve théorique que si suffisamment de systèmes photovoltaïques sont attaqués, cela pourrait gravement déstabiliser le réseau. En Europe, les réseaux nationaux sont si interconnectés qu’une attaque pourrait plonger un continent entier dans le noir. C’est théorique, mais cela pourrait arriver avant que d’autres énergies non renouvelables comme le nucléaire ou le charbon ne prennent le relais pour stabiliser le réseau.

À votre avis, quelle est la chose la plus importante que les fournisseurs et les clients finaux pourraient et devraient faire concernant les vulnérabilités que vous avez identifiées ?

Vangelis Stykas : J’ai identifié quelques vulnérabilités web assez basiques. Pour le client final, je recommande de mettre les dispositifs IoT sur leur propre sous-réseau pour limiter les dommages en cas de compromission.

Les fournisseurs devraient toujours vérifier leur propre sécurité, effectuer des tests de pénétration et suivre des checklists de contrôle de sécurité.

Malheureusement, les gouvernements et autres organismes de réglementation sont en retard. La réglementation doit commencer à exiger des fournisseurs qu’ils aient des protocoles de sécurité adéquats.

Avez-vous des recommandations particulières pour les régulateurs ? Quelle est l’importance de la collaboration entre les parties prenantes (fabricants, régulateurs, experts en cybersécurité, etc.) pour résoudre ces vulnérabilités ?

Vangelis Stykas : Les régulateurs, en particulier en Europe, sont bons pour réglementer ; ce n’est pas le problème. Le problème est qu’il n’y a pas encore de réglementation pour les photovoltaïques.

La révolution verte progresse, ce qui est génial, mais aucune mesure de sécurité n’est encore imposée à l’industrie photovoltaïque. NIS 2 est un bon point de départ, mais nous avons besoin de réglementations plus strictes spécifiques aux photovoltaïques et aux chargeurs de VE.

Si un attaquant parvient à accéder à un onduleur PV/chargeur de VE via l’une des vulnérabilités que vous avez identifiées, existe-t-il des solutions (par exemple, antivirus, démarrage sécurisé, etc.) ?

Vangelis Stykas : L’antivirus n’est pas très pertinent dans ce cas. L’isolation du réseau et les VLAN peuvent limiter l’exposition, mais si un firmware compromis est poussé, les batteries peuvent exploser ou prendre feu. C’est un vecteur d’attaque différent auquel peu de gens pensent actuellement.

Quelles tendances futures prévoyez-vous dans le paysage de la cybersécurité pour les énergies renouvelables et les VE ?

Vangelis Stykas : C’est une question intéressante… mais triste. Actuellement, les secteurs des VE et des énergies renouvelables en sont encore à leurs débuts ; c’est un secteur assez jeune. Une situation similaire aux années 2000 pour l’IoT ou aux années 90 pour les applications web. Nous devons renforcer notre posture de sécurité. Mon espoir est que les entreprises [dans les secteurs des énergies renouvelables et des VE] prennent conscience de l’importance de la cybersécurité. Elles doivent cesser de se précipiter sur le marché sans tenir compte de la sécurité.

Un dernier mot à ajouter ?

Vangelis Stykas : J’espère que la situation avec l’énergie verte et la course vers ce marché vont se poursuivent, tout en tenant compte de sa sécurité. En 2024-2025, j’aimerais voir des entreprises demander de l’aide si elles ne savent pas comment sécuriser leurs produits.