Catégorie : Bonnes Pratiques

Smart metering vs vie privée

Le smart metering, c’est la mesure précise et en temps réel des échanges entre les utilisateurs et les réseaux (électricité, eau, gaz, téléphonie, internet, …). Pour les utilisateurs, c’est l’assurance de pouvoir gérer sa consommation. Pour les distributeurs, c’est l’assurance de pouvoir gérer leur infrastructure.

Mais est-on conscient que plus la mesure est précise, plus on dévoile sa vie privée ?

A ce propos, une expérience du Chaos Computer Club allemand révèle des résultats inattendus (voir la vidéo complète du compte-rendu, en anglais, durée 1h environ). Suite au déploiement de compteurs électriques “intelligents” chez certains de ses membres, ce club de hackers (qui a pignon sur rue et est reconnu pour son sérieux en matière de sécurité) a décidé de vérifier la robustesse du dispositif. Ces compteurs sont de la marque allemande Discovergy et sont actuellement déployés au sein du réseau électrique allemand.

Des liaisons non sécurisées

Tout d’abord, les informaticiens allemands ont analysé les trames de données envoyées par le compteur via une liaison de type Ethernet. Quelle ne fut pas leur surprise de voir que, contrairement à ce qui était annoncé par le fournisseur, ces données étaient envoyées en clair sur le réseau. Pas de liaison sécurisée, pas de cryptage ! La société annonçait l’utilisation de HTTPS pour protéger et signer les données transmises. Mais le certificat SSL était mal configuré, et une redirection avait lieu vers du HTTP simple.

Des données délirantes

Cette première faille mise en évidence, il devenait relativement facile de modifier les données émises. Nos facétieux hackers ont alors transmis des relevés correspondant à une consommation négative (ce qui est possible en cas de production électrique locale), c’est-à-dire que leur fournisseur d’électricité était censé leur devoir de l’argent !

Mieux, ne reculant devant rien, les hackers se sont amusés à envoyer une courbe de consommation dont le profil formait le message « You have been hacked ». L’effet a dû être saisissant sur les écrans de contrôle de la compagnie d’électricité !

Uhavebeenhacked.jpg

Vos habitudes dévoilées

Plus sérieusement, cette expérience a aussi montré que l’analyse des données envoyées permettait de définir le comportement des occupants (heure de lever et de coucher, présence ou non dans l’habitation), et d’en savoir plus sur leur équipement électrique. En effet, chaque appareil possède une courbe de consommation électrique caractéristique, c’est sa « signature électrique ». En appliquant des programmes de traitement du signal sur la courbe de consommation, et pour peu que celle-ci soit assez précise (dans le cas de l’expérience, la consommation était relevée toute les 2 secondes), on peut ainsi déterminer le type et le nombre d’appareils électriques possédés (non, on ne peut pas connaître la marque ni la couleur …). Les membres du CCC ont même réussi à déterminer quel programme télévisé était regardé !

Pas de « Big Brother », mais …

Cette expérience montre donc que dès que des données personnelles sont envoyées à l’extérieur, elles sont susceptibles de révéler un peu de notre vie privée. Mais soyons réalistes, c’est déjà le cas pour l’utilisation des téléphones (factures détaillées, écoutes légales ou non) et plus encore pour Internet (votre navigation est conservée sous forme de « logs » pendant 1 an chez votre FAI), sans compter les expositions volontaires de vie privée sur les réseaux sociaux.

Le développement des smart meters n’est donc pas synonyme de Big Brother, mais il faut que les utilisateurs soient vigilants aux conditions d’utilisation de leurs données. Et que les hackers continuent à éprouver ces dispositifs !

Et en France ?

En ce qui concerne les compteurs intelligents en France, il est probable que la plupart de ceux-ci soient de type LINKY. Les spécifications en terme de transmission de données semble montrer que les liaisons seront sécurisées (chiffrement des données, transmission par courant porteur puis par GPRS a priori moins facile à intercepter). La fréquence de relevé (a priori toute les ½ heures) devrait empêcher de déterminer les signatures des appareils électriques.

Mais l’expérience allemande montre qu’entre les déclarations et les actes, les choses peuvent changer. D’après ERDF, 250 000 LINKY sont déjà en phase de test. On attend donc que des analyses indépendantes soient menées et publiées avec autant d’humour que l’on fait nos voisins !

Yann Hamonic

Ingénieur INSA, j’ai passé 3 ans chez un éditeur de logiciel, puis 10 ans en SSII, avant de lancer ma propre structure. J’ai ainsi pu expérimenter de nombreux métiers (de développeur à chef de projet, en passant par l’intégration, les tests, le pilotage et même la Hotline !), et j’ai évolué dans des secteurs divers (PME de services, Grandes entreprises industrielles, Services Publics). Passionné par la nature et l’environnement, je me suis intéressé au Green IT à partir de 2007. Cela m’a permis de concilier mes passions et mes compétences professionnelles au point de vouloir en faire mon activité principale. J’ai ainsi démarré un projet de création autour du conseil en Green IT en 2010, et la société AWALENN a finalement été créée en 2012 (AWALENN est membre de l’AGIT). Je suis contributeur à GreenIT.fr depuis l’été 2011.

Site web