La technologie solaire a un problème de sécurité que personne ne résout

Les systèmes d’énergie solaire présentent des failles critiques en matière de cybersécurité

L’infrastructure solaire a un problème de sécurité. Et elle se développe rapidement.

Les chercheurs de Forescout, Daniel dos Santos, Francesco La Spina et Stanislav Dashevskyi, viennent de découvrir 46 nouvelles vulnérabilités en matière de cybersécurité dans des produits fabriqués par certains des plus grands acteurs du secteur : Growatt, Sungrow et SMA. Il ne s’agit pas d’obscures portes dérobées enfouies dans des bases de code complexes. Ils touchent des composants essentiels qui font fonctionner les systèmes solaires domestiques et industriels : les onduleurs, les applications mobiles, les plateformes cloud et les interfaces réseau.

Qu’est-ce que cela signifie pour vous, en tant que décideur à la tête d’une entreprise ou d’une agence gouvernementale ? Ces bogues ne se limitent pas à faire sauter vos panneaux solaires. Ils permettent aux attaquants de détourner à distance l’ensemble du système. Ils peuvent contrôler les flux d’énergie, voler les données des utilisateurs et exploiter des réseaux de zombies qui manipulent la production d’électricité à grande échelle. La perturbation devient facile. Il est également tout à fait possible de l’étendre pour affecter les performances réelles du réseau.

Voici un exemple si vous êtes curieux. Les onduleurs Growatt avaient des failles qui permettaient de prendre le contrôle total via le cloud, aucun accès physique n’étant nécessaire. Les appareils Sungrow avaient des numéros de série et des fragments de connexion intégrés dans le firmware, ce qui rendait l’exécution de code à distance et la prise de contrôle complète du système triviale pour toute personne ayant un accès à l’internet et des compétences moyennes.

Ces vulnérabilités affectent tous les niveaux de la pile technologique solaire. Pas seulement un point d’accès. Pas seulement une marque. Et c’est là le véritable problème. Cela signifie que le problème est systémique. Pourtant, ce sont des systèmes abordables qui sont installés à grande vitesse dans le monde entier, avec une attention minimale accordée au verrouillage des portes numériques. Ce n’est pas viable.

L’échelle de l’énergie solaire est importante. En 2024, le marché mondial de l’énergie solaire atteindra 70 milliards de dollars. Cela représente beaucoup de nœuds. Beaucoup de systèmes interconnectés. Toute faille dans la chaîne d’approvisionnement pourrait être exploitée à grande échelle, avec des conséquences réelles sur la résilience énergétique et la continuité des activités.

Il n’est pas nécessaire d’interrompre les progrès, il suffit de les faire correspondre à la sécurité.

Le constat de Forescout est clair : la cybersécurité doit s’adapter à l’innovation en matière d’énergie propre. Chaque dispositif solaire connecté est un nœud périphérique de votre réseau. Si vous ne contrôlez pas sa sécurité, quelqu’un d’autre pourrait le faire.

L’absence chronique de pratiques de base en matière de cybersécurité dans le secteur des énergies renouvelables.

Qu’y a-t-il de plus inquiétant que de trouver de nouveaux bugs ? Trouver les mêmes vieux bogues, encore et encore.

Plus de 30 des 46 vulnérabilités découvertes par Forescout appartiennent à une catégorie bien documentée : les références directes d’objets non sécurisées (IDOR). Ces problèmes sont largement connus. Ils figurent déjà dans toutes les listes des 10 principales vulnérabilités du web établies par les experts en sécurité du monde entier. Cela signifie qu’ils auraient dû être traités bien avant que ces systèmes ne soient mis sur le marché.

Cela ne s’est pas produit.

L’équipe, composée de Daniel dos Santos, Francesco La Spina et Stanislav Dashevskyi, n’a pas été surprise par le volume des problèmes. Ils ont déjà vu cela dans d’autres secteurs d’activité. Ce qui les a pris au dépourvu, c’est le caractère élémentaire de ces failles de sécurité. Se connecter à des systèmes à l’aide d’informations d’identification codées en dur et trouvées dans des microprogrammes publics ? Envoi de requêtes HTTP non authentifiées pour prendre le contrôle ?

Pour les dirigeants, il s’agit d’une question pratique. La sécurité ne suit pas le rythme de l’innovation dans le domaine des énergies renouvelables. Les fournisseurs lancent des produits sur le marché sans y intégrer de mesures de protection, même minimales. Votre infrastructure énergétique est ainsi exposée à des menaces réelles, allant de la perte de données à la perte de continuité de l’alimentation. Il s’agit là d’un risque opérationnel à la vue de tous.

Et ce, à l’échelle de l’industrie. Des vulnérabilités ont été constatées sur l’ensemble des produits, des onduleurs solaires grand public aux logiciels de surveillance industrielle. Il ne s’agit pas d’un cas isolé d’un fournisseur qui aurait pris des raccourcis. Il s’agit d’une absence généralisée de cycles de développement sécurisés.

Pour y remédier, il n’est pas nécessaire de recourir à une technologie révolutionnaire. Il faut appliquer les principes existants de manière cohérente, contrôler l’accès, gérer correctement les informations d’identification, mettre à jour les microprogrammes de manière sécurisée et surveiller les vulnérabilités en temps réel.

Le manque d’attention portée aux fondamentaux est révélateur d’un problème plus large : la sécurité ne fait toujours pas partie de l’état d’esprit des produits de base dans une grande partie du secteur des énergies renouvelables. Il faut que cela change, d’autant plus que les installations solaires s’intègrent dans les installations gouvernementales, les hôpitaux et les réseaux industriels.

Les vulnérabilités posent des risques, capables de déclencher des perturbations à grande échelle.

Lorsque la technologie solaire est compromise, les dommages ne se limitent pas à un seul appareil ou à une seule maison. Ils affectent le réseau.

C’est l’un des avertissements les plus clairs de l’équipe Forescout. Une fois que les attaquants ont accès aux onduleurs solaires par le biais de points faibles tels que des API non sécurisées ou des identifiants codés en dur, ils peuvent manipuler les flux d’énergie en temps réel. Il peut s’agir de modifier la production d’énergie, d’éteindre et de rallumer les onduleurs ou de relier plusieurs systèmes compromis en un réseau de zombies coordonné. L’impact est cumulatif et peut rapidement dépasser l’équilibre du réseau local.

Cela est à la portée des attaquants aujourd’hui, en utilisant des exploits révélés dans les cadres de sécurité courants. Si 10 000 appareils réagissent au même déclencheur malveillant, vous obtenez une fluctuation soudaine de la charge sur un réseau d’énergie critique. En fonction de la capacité de production d’urgence du réseau et de la latence, cela peut provoquer des arrêts, des déséquilibres du réseau ou forcer la déconnexion des réseaux externes.

Le risque s’amplifie avec l’échelle. L’adoption de l’énergie solaire ne se limite pas aux maisons intelligentes, elle s’étend aux hôpitaux, aux infrastructures du secteur public, aux aéroports et aux centres de production. Dès que les systèmes solaires deviennent des actifs opérationnels au sein d’une infrastructure critique, ces vulnérabilités prennent plus de poids. Elles créent de nouveaux points d’entrée dans des lieux qui n’ont jamais été conçus pour faire face à des cyberattaques de grande ampleur.

Les responsables des opérations industrielles, de la gestion des installations ou de l’infrastructure nationale doivent se concentrer sur deux points : le degré d’intégration de la technologie solaire dans leurs points finaux et l’efficacité avec laquelle ces points finaux sont isolés, corrigés et surveillés.

En réalité, cette menace n’est plus hypothétique. Et pour les dirigeants responsables du temps de fonctionnement, de la sécurité ou de la fourniture de services nationaux, il n’est pas acceptable de dépendre passivement des fournisseurs pour régler le problème en premier. C’est à vous de gérer l’exposition.

Le dernier rapport de Forescout confirme cette tendance : plus de dix nouvelles vulnérabilités par an ont été révélées dans les systèmes d’énergie solaire au cours des trois dernières années, 80 % d’entre elles étant classées dans la catégorie « élevée » ou « critique ». Un tiers d’entre elles obtiennent une note de 9,8 ou 10 sur l’échelle CVSS. Cela signifie qu’une prise de contrôle complète du système est possible.

Lorsque les éléments que vous installez augmentent la vulnérabilité de l’ensemble de votre opération, vous devez apporter des changements rapidement, avant que les attaquants ne remarquent les mêmes schémas que les chercheurs ont déjà observés.

Le besoin urgent de pratiques sécurisées dès la conception et de mesures immédiates d’atténuation des risques

Le problème est que ces vulnérabilités se répètent chaque année dans plus de produits, avec plus de risques. Cette situation est le reflet d’une incapacité plus générale à intégrer la cybersécurité dans l’architecture des systèmes solaires dès le départ.

Les analystes de Forescout ont compilé des données montrant plus de 90 vulnérabilités du système solaire divulguées publiquement à ce jour. Au cours des trois dernières années, plus de 10 nouvelles vulnérabilités ont été découvertes en moyenne chaque année. Huit sur dix sont considérées comme présentant un risque élevé ou critique. Et 32 % d’entre elles ont un score CVSS proche du maximum : 9,8 ou 10.

Pour les responsables de l’infrastructure, le moment est venu de changer d’attitude. S’appuyer sur des solutions de modernisation après le déploiement des systèmes n’est pas extensible. L’approche la plus intelligente consiste à renforcer le système avant qu’il ne soit connecté à vos opérations.

Cela commence par la conception, l’approvisionnement et la stratégie de déploiement. Les appareils tels que les onduleurs doivent être considérés comme faisant partie de votre infrastructure de base, et non comme des accessoires grand public. La sécurité ne doit pas être laissée aux seuls fabricants d’appareils. Vous devez appliquer des normes tout au long de votre chaîne d’approvisionnement, exiger des certifications de sécurité lors de l’achat et structurer les réseaux de manière à ce que les actifs solaires soient isolés et surveillés comme s’il s’agissait de systèmes OT, car c’est désormais le cas.

Forescout recommande une segmentation stricte des composants solaires sur des sous-réseaux dédiés, des outils de visibilité pour une surveillance en temps réel et l’intégration précoce de cadres tels que ceux du NIST ou du ministère américain de l’énergie. Pour les déploiements européens, l’alignement sur la loi sur la cyber-résilience, la norme ETSI EN 303 645 et la directive sur les équipements radio vous permet de prendre de l’avance.

Du côté des fournisseurs, les attentes doivent changer. Les cycles de développement de logiciels sécurisés, les tests de pénétration et les audits par des tiers ne devraient pas être négociables. La sécurité ne peut pas rester une réflexion après coup.

Daniel dos Santos, responsable de la recherche en matière de sécurité chez Forescout, l’a dit clairement : « C’est aux entreprises de se préoccuper de les sécuriser également… et de s’assurer qu’ils sont isolés dans le réseau et qu’ils sont mis à jour. »

Il n’est pas nécessaire de ralentir le déploiement. Mais vous devez reconstruire le processus pour y inclure la sécurité. Toute organisation qui ne le fait pas accueille le risque opérationnel dans son propre réseau.

Principaux faits marquants

Les systèmes solaires présentent un risque cybernétique croissant au niveau du réseau : Les vulnérabilités des dispositifs solaires courants de fournisseurs tels que Growatt, Sungrow et SMA exposent l’infrastructure énergétique centrale à des attaques potentielles à distance. Les dirigeants doivent s’assurer que les actifs solaires sont traités comme des systèmes critiques avec des protocoles de sécurité dédiés.
Les défaillances de base en matière de sécurité révèlent des lacunes systémiques dans le secteur : Plus de 30 des 46 menaces identifiées étaient des failles évitables telles que les IDOR, ce qui indique que les fournisseurs ne respectent pas les règles d’hygiène de base en matière de cybersécurité. Les dirigeants doivent exiger la sécurité par défaut dans l’approvisionnement en énergie solaire et vérifier les pratiques dès le départ.
Les vulnérabilités peuvent déclencher des interruptions de service à grande échelle : Les onduleurs solaires compromis peuvent être exploités pour manipuler la production du réseau en temps réel, risquant ainsi de provoquer des pannes d’électricité et des interventions d’urgence. Les responsables opérationnels devraient donner la priorité à la segmentation et à la surveillance des réseaux solaires afin de contenir les menaces au niveau du système.
La sécurité dès la conception doit devenir la norme pour les technologies de l’énergie : Avec plus de 90 failles de sécurité identifiées ces dernières années, dont la plupart sont classées élevées ou critiques, les dirigeants ne peuvent plus se permettre des solutions réactives. Les organisations doivent intégrer la cybersécurité dans la conception, l’approvisionnement et la gestion du cycle de vie de toutes les installations solaires.

Alexander Procter

avril 8, 2025

12 Min

Marketing et croissance digitale
Pourquoi l’IA générative piétine alors que les budgets continuent de grimper
Avr 16, 2025
17 min
Tendances sectorielles
Google signale la menace croissante de faux informaticiens originaires de Corée du Nord
Avr 16, 2025
14 min
Tendances sectorielles
Ce que l’IA générative signifie pour l’avenir des soins de santé
Avr 16, 2025
20 min

La technologie solaire a un problème de sécurité que personne ne résout

Les systèmes d’énergie solaire présentent des failles critiques en matière de cybersécurité

L’absence chronique de pratiques de base en matière de cybersécurité dans le secteur des énergies renouvelables.

Les vulnérabilités posent des risques, capables de déclencher des perturbations à grande échelle.

Le besoin urgent de pratiques sécurisées dès la conception et de mesures immédiates d’atténuation des risques

Principaux faits marquants

Pourquoi l’IA générative piétine alors que les budgets continuent de grimper

Google signale la menace croissante de faux informaticiens originaires de Corée du Nord

Ce que l’IA générative signifie pour l’avenir des soins de santé

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps