Le danger n’a pas été révélé par des adeptes de la théorie du complot ou des adversaires déclarés de la Chine communiste. Il se trouve dans un rapport rendu public il y a quelques jours par SolarPower Europe, une association professionnelle très sérieuse regroupant plus de 300 acteurs de la filière photovoltaïque. Ce rapport entend attirer l’attention sur une chose : les onduleurs, ces équipements indispensables qui relient les panneaux solaires aux réseaux électriques et convertissent le courant continu en courant alternatif, sont vulnérables, très vulnérables. On trouve aussi des onduleurs dans les batteries, les pompes à chaleur, les chargeurs de véhicules électriques et pour connecter les éoliennes aux réseaux.
Le rapport commandé par SolarPower Europe a été réalisé par DNV un cabinet norvégien spécialisé dans la gestion des risques industriels. Il met en garde contre la possibilité d’une cyberattaque massive mettant hors service un grand nombre d’onduleurs. Ils sont en très grande majorité fabriqués par des industriels chinois.
Connectés, vulnérables et représentants une puissance importante
Ces appareils indispensables sont connectés et vulnérables. Les parcs solaires importants sont en général plutôt sûrs car gérés par des entreprises industrielles expérimentées. En revanche, les installations photovoltaïques de petite taille sont souvent mal sécurisées. Ce qui laisse le champ libre à des acteurs malveillants. Et comme les petits parcs et les panneaux individuels sont de plus en plus nombreux, ils finissent par représenter une puissance électrique importante.
Selon l’étude de SolarPower Europe, chaque année le risque grandit. Il suffirait de mettre hors service 3 GigaWatts (GW) d’onduleurs pour perturber le réseau électrique à l’échelle européenne. Or, pas moins de treize fabricants – essentiellement chinois – gèrent chacun à distance l’équivalent de 5 GW dans toute l’Europe. A commencer par Huawei, le leader du marché, qui possède 114 GW de capacité d’onduleurs photovoltaïques installée en Europe…
Dispositifs cachés et malveillants de communication
Mais le problème ne s’arrête pas là. Selon l’agence Reuters, des dispositifs cachés de communication malveillants, non répertoriés dans les documents décrivant le fonctionnement des appareils, ont été découverts dans certains onduleurs solaires chinois par des experts américains qui démontent les équipements connectés aux réseaux pour gérer les problèmes de sécurité. Les composants malveillants fournissent des canaux de communication supplémentaires qui pourraient permettre de contourner les pare feu (firewall) à distance.
L’utilisation de ses dispositifs de communication cachés permettrait d’éteindre les onduleurs à distance, ou modifier leurs paramètres et pourrait déstabiliser les réseaux électriques, endommager les infrastructures énergétiques et déclencher des pannes de courant généralisées, expliquent des experts cités par Reuters. « Si vous contrôlez à distance un nombre suffisamment important d’onduleurs solaires domestiques et que vous faites quelque chose de néfaste en même temps, cela pourrait avoir des conséquences catastrophiques sur le réseau pendant une période prolongée », ajoute Uri Sadot, directeur du programme de cybersécurité du fabricant israélien d’onduleurs SolarEdge.
L’OTAN alerte sur les risques
L’OTAN en est venu à se préoccuper ouvertement des efforts de la Chine pour contrôler les infrastructures critiques des États membres de l’alliance militaire, notamment via les onduleurs. « Nous devons identifier les dépendances stratégiques et prendre des mesures pour les réduire », déclare un responsable de l’alliance de défense.
En novembre dernier, le gouvernement lituanien a adopté une loi interdisant l’accès des industriels Chinois aux installations solaires, éoliennes et de batteries de plus de 100 kilowatts, limitant de fait l’utilisation des onduleurs chinois.
Les Etats-Unis se préparent à interdire l’utilisation des onduleurs chinois dans quelques années, quand les pays occidentaux seront capables d’en produire suffisamment pour se passer des fournisseurs chinois. En Grande-Bretagne, un examen par le gouvernement des risques représentés par l’omniprésence de la technologie chinoise dans le système énergétique du pays doit être terminé dans les prochains mois et ses conclusions rendues publiques
Retrouver sécurité et souveraineté va prendre du temps
Pour en revenir à l’étude de SolarPower Europe, elle met en garde contre le fait que de nombreux systèmes photovoltaïques, les plus petits, sont gérés par des particuliers ou des petites entreprises qui échappent aux contraintes réglementaires existantes sur la cyber sécurité. Et dans le même temps, les installateurs et fabricants d’onduleurs développent de plus en plus de services à distance dans un souci de flexibilité.
« Tandis que près de 70 % des installations résidentielles et commerciales sont désormais connectées à l’internet, les connaissances des installateurs et des prestataires de services en matière de cybersécurité restent limitées compte tenu de la sophistication des attaque potentielles. Les mauvaises pratiques – mots de passe par défaut, absence de pare-feu, configurations non sécurisées – sont courantes. Les utilisateurs mal informés ignorent souvent les risques associés à l’accès à distance ou au stockage de données dans des centres de données situés en dehors de l’UE, parfois dans des juridictions moins protectrices », écrit SolaPowerEurope.
Mais retrouver un niveau acceptable de sécurité risque de prendre du temps tant le marché européen des onduleurs reste dominé par des entreprises asiatiques. « On estime aujourd’hui que les fabricants d’onduleurs européens sont seulement en mesure de s’approprier 20% du marché », écrit SolarPower Europe.
