Quand les compteurs électriques font des étincelles

Posté par (page perso) . Édité par Florent Zara et baud123. Modéré par Xavier Teyssier. Licence CC by-sa
30
20
jan.
2012
Sécurité

Parmi d'autres mauvaises nouvelles concernant les libertés en général et le numérique en particulier, la dernière lettre de l'organisation EDRi (European Digital Rights) revient sur les compteurs électriques dits intelligents (qui remontent des informations sur votre consommation à votre fournisseur d'électricité).

Lors d'une conférence au congrès 28C3 en décembre dernier, deux chercheurs, Dario Carluccio et Stephan Brinkhaus, ont montré les failles d'un modèle de la société Discovergy, utilisé en Allemagne.

Le cas allemand Discovergy

La société annonçait l'utilisation de HTTPS pour protéger et signer les données transmises, et une sécurité confirmée par des experts indépendants. Les deux intervenants du 28C3 ont montré que le certificat SSL était mal configuré, qu'une redirection avait lieu vers du HTTP, que données et mot de passe étaient transmis en clair via Internet et, pour finir, que l'ensemble des données était stocké sur les serveurs de l'entreprise…

Pas de lien sans autorisation (PDLSA)

J'aurais bien mis un lien vers Linky (sic) mais pour ERDF « Les utilisateurs et visiteurs du site erdfdistribution.fr ne peuvent en aucun cas mettre en place un lien hypertexte en direction du site erdfdistribution.fr sans l'autorisation écrite et préalable de ERDF. Toute demande tendant à cette fin doit être adressée au Directeur de Publication du site erdfdistribution.fr ».

(Aparté : j'aime bien la mention de Mozilla Firefox version 2.x et 3.x dans les moyens nécessaires d'accès à leur site.)

Par ailleurs, les données sont collectées toutes les deux secondes, ce qui est plutôt intrusif. Il a aussi été montré que des données erronées (y compris négatives) pouvaient être injectées (avec potentiellement des conséquences sur la facturation…).

Pour la France, ERDF annonce que toutes les données de consommation de son modèle Linky sont chiffrées et protégées des attaques malveillantes, et que tout se fait sous le contrôle de la CNIL.

Et ailleurs ?

  • # Cachez ce lien que je ne saurais voir

    Posté par (page perso) . Évalué à 10. Dernière modification le 20/01/12 à 09:12.

    C'est incroyable qu'en 2011, on trouve encore cette demande d'autorisation pour faire un lien vers leur site. Ont-ils compris ce qu'était le Web ? Est ce que Google a eu l’autorisation de faire un lien vers leur site ?
    Ça relance cette excellent dépêche:
    http://linuxfr.org/news/cachez-ce-lien-que-je-ne-saurais-voir-contre-offensive

  • # Attaque par canal secondaire

    Posté par . Évalué à 10.

    Ces enregistrement de consommation instantanées me fait penser aux attaques contres les cartes à puces. Lors de leur sortie, l'attaque utilisait le fait que lors des énormes multiplications (pour le RSA), la présence d'un bit à 1 entrainait une addition puis un shift, et celle d'un zéro entrainait seulement le shift. L'addition entrainant un pic de consommation, il était quasiment possible de lire la clef RSA en lisant le courant de l'alimentation.

    De la même façon, celui qui contrôle ces compteurs électriques intelligents pourront savoir ce que vous faites vu que chaque type d'appareil à une consommation particulière en valeur et dans le temps : nombre de personnes présent dans le domicile, enclenchement d'appareils (four, machine à laver, ordinateur), heure de réveil et de retour à la maison, congé, etc...

    "La première sécurité est la liberté"

    • [^] # Re: Attaque par canal secondaire

      Posté par (page perso) . Évalué à -10.

      Super, il pourra voir que j'utilise mon grille-pain à 7h10 chaque jour.

      :-)

      Speed dating is useless. 30s isn't long enough to explain the benefits of functional programming in Haskell

    • [^] # Re: Attaque par canal secondaire

      Posté par . Évalué à 10.

      De la même façon, celui qui contrôle ces compteurs électriques intelligents pourront savoir ce que vous faites vu que chaque type d'appareil à une consommation particulière en valeur et dans le temps : nombre de personnes présent dans le domicile, enclenchement d'appareils (four, machine à laver, ordinateur), heure de réveil et de retour à la maison, congé, etc...

      Qui aurait cru qu'un groupe électrogène pourrait être un moyen de protéger sa vie privée ?

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: Attaque par canal secondaire

        Posté par (page perso) . Évalué à 10.

        puis un jour la police viendra saisir ton onduleur sous prétexte d'utilisation illégale de matériel de lissage du courant, dissimulation d'information de sécurité nationale et entrave au bon fonctionnement du système de répartition de la redevance-ayant-droit.

        ce commentaire est sous licence cc by 4 et précédentes

        • [^] # Re: Attaque par canal secondaire

          Posté par (page perso) . Évalué à 10. Dernière modification le 20/01/12 à 14:16.

          « Art. L. 335-2-1. - Est puni de trois ans d’emprisonnement et de 300 000 € d’amende, le fait :

          • « 1° D’éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un dispositif manifestement destiné à la mise à disposition du public non autorisée d'électricité ou d'énergies protégés ;
          • « 2° D’inciter sciemment, y compris à travers une annonce publicitaire, à l’usage d’un dispositif mentionné au 1°.»

          « En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll

  • # Contact pour demander l'autorisation

    Posté par (page perso) . Évalué à 10.

    Afin de respecter leurs conditions je te propose de les contacter par téléphone. Son numéro de téléphone est là :

    http://www.euroinvestor.fr/news/story.aspx?id=9686407

    Je n'ai pas trouvé si j'avais le droit de faire un lien internet vers ce site...

    Si chacun peut l'appeler pour demander l'autorisation de stocker un lien sous forme de marque-pages, cela permettra d'éviter d'être dans l'illégalité.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.