« On n’arrête pas le progrès… mais certains oublient d’arrêter les failles ! » Voilà qui pourrait résumer la tragi-comédie qui secoue en ce moment le monde des onduleurs solaires et qui propulse EG4 Electronics sous les feux d’un projecteur inattendu. Imaginez un instant : un hacker moustachu débarque dans votre allée, perce votre mot de passe Wi-Fi et bidouille l’onduleur solaire qui pavoise fièrement à côté de votre garage. Une menace venue tout droit d’un épisode de Black Mirror… ou d’un mardi un peu étrange à Sulphur Springs, Texas ?
James Showalter, PDG d’EG4 Electronics, relativise tout de suite : il faut un « stalker solaire » de compétition — doué, motivé, et pas mal téméraire — pour que ce tableau d’horreur devienne réalité. Mais l’histoire prend une tournure sérieuse lorsque la CISA, bras armé de la cybersécurité américaine, pointe du doigt de sérieux trous dans la raquette sécuritaire de leurs onduleurs. Besoin de fermer la grille ? Pas seulement ! Selon le rapport, une faille permettrait à un malandrin ayant le bon réseau et le numéro de série d’intercepter vos données, d’installer un firmware malin (mais pas malin du tout pour vous), ou même de prendre le contrôle total de l’installation solaire.
On tient là une révélation peu rassurante pour plus de 55 000 clients, sans doute persuadés que l’onduleur n’était qu’un convertisseur anodin planqué derrière quelques panneaux. Mais non ! Ces petits boîtiers sont maintenant les cerveaux connectés de toutes nos installations ; ils chuchotent avec le fournisseur d’énergie, surveillent la production minute par minute, et parfois, reversent l’excédent sur le réseau. Bref, bienvenue à la maison intelligente… et crackable ?
La montée en puissance des objets connectés à énergie solaire, c’est un peu comme inviter tout le quartier (voire la planète) à la fête, sans toujours vérifier la liste des invités !
Croissance fulgurante oblige, chaque installation solaire domestique devient une centrale miniature, mais aussi une porte d’entrée pour qui rêve de jouer les hackers écolo-sceptiques. L’EIA recense un quintuplement de ces installations aux États-Unis en moins d’une décennie ! Mais qui dit expansion explosive dit aussi multiplication des failles, surtout si l’industrie entière n’a pas pris soin de fermer… la porte digitale derrière elle. D’ailleurs, Showalter l’admet, un poil fataliste : « Ce n’est pas qu’un souci d’EG4, c’est toute une industrie qui rame ». Les clients, eux, ne goûtent guère cette philosophie « on est tous dans le même bateau qui prend l’eau » — surtout après la découverte de transmissions en clair, mises à jour non vérifiées et mots de passe dignes de « 1234 » sur le babyphone.
Si la cybersécurité titille les clients, la géopolitique s’en mêle aussi. L’affaire éclate alors que la filière s’agite : aux US comme en Europe, certains découvrent du hardware mystérieux dans des équipements venus de Chine, avec radios cachées et composants oubliés sur la fiche technique – ambiance film d’espionnage, rayon photovoltaïque. Avec l’écrasante majorité des onduleurs produits par Huawei & cie, les craintes d’intrusions ou d’espionnage industriel prennent des airs de thriller géostratégique, poussant même certains pays à interdire l’accès à distance sur le matériel chinois.
Soyons justes : le risque immédiat reste assez théorique. Un piratage de masse nécessiterait de contrôler des milliers de maisons simultanément, ce qui stimule plus l’imagination que les capacités logistiques d’un hacker lambda (ou même d’un super-vilain de Marvel). D’ailleurs, le vrai problème, c’est moins la prise de contrôle d’une terrasse couverte de panneaux que la fragilité d’une gigantesque toile d’araignée connectée, sans cadre réglementaire solide pour protéger le tout. Pour l’instant, chaque fabricant, comme EG4, compose sa partition à l’aveugle, laissant les clients danser au petit bonheur la chance sur la piste de la cybersécurité.
Côté EG4, la mésaventure est presque vendue comme une opportunité marketing : l’entreprise travaille avec la CISA pour corriger ses vulnérabilités, boucle de sécurité dans la ceinture, avec promesse de « niveau de confiance augmenté » d’ici l’automne. Mais pour les particuliers qui pensaient acheter juste un panneau vert, la douche (solaire ?) est froide : l’écologie ne protège pas contre les bugs cachés… ni contre les embrouilles logicielles insoupçonnées.
Morale photovoltaïque : avec le soleil, tout finit par s’éclairer… même les trous dans la raquette ! Alors pour votre onduleur, gardez un œil ouvert (et un mot de passe qui ne fasse pas fondre à la première panne).
Source : Techcrunch
