Les technocrates qui construisent l'Internet des objets ne sont pas en mesure de protéger leurs créations contre les pirates. Si les moteurs de climatiseur d'une seule grande ville étaient tous démarrés en même temps, cela briserait le réseau électrique dans une zone comprenant plusieurs États. ⁃ Éditeur TN
Lorsque le secteur de la cybersécurité met en garde contre le cauchemar des pirates informatiques provoquant des pannes, le scénario qu'ils décrivent implique généralement une équipe d'élite de pirates. pénétrer dans le sanctuaire intérieur d'un service public d'électricité pour commencer à basculer les commutateurs. Mais un groupe de chercheurs a imaginé comment détruire tout un réseau électrique en piratant une classe de cibles moins centralisée et protégée: les climatiseurs domestiques et les chauffe-eau. Beaucoup d'entre eux.
Cette semaine, à la conférence Usenix sur la sécurité, un groupe de chercheurs en sécurité de l’université de Princeton présentera une étude examinant une question peu examinée dans cybersécurité sur le réseau électrique: Que se passerait-il si les pirates informatiques attaquaient non pas le côté offre du réseau électrique, mais le côté demande? Dans une série de simulations, les chercheurs ont imaginé ce qui pourrait arriver si les pirates contrôlaient une botnet composé de milliers de dispositifs de consommation Internet piratés en silence, particulièrement ceux qui consomment de l'énergie, tels que les climatiseurs, les chauffe-eau et les chauffages d'appoint. Ils ont ensuite procédé à une série de simulations logicielles pour déterminer le nombre de périphériques qu'un pirate aurait besoin de détourner simultanément pour perturber la stabilité du réseau électrique.
Leurs réponses suggèrent un scénario inquiétant, sinon tout à fait pratique: dans un réseau électrique suffisamment grand pour desservir une zone de plus d'un million de personnes - une population à peu près équivalente à celle du Canada ou de la Californie - les chercheurs estiment qu'une hausse de la demande d'un pour cent pourrait être suffisant pour éliminer la majorité de la grille. Cette augmentation de la demande pourrait être créée par un réseau de zombies aussi petit que quelques dizaines de milliers de chauffe-eau électriques piratés ou quelques centaines de milliers de climatiseurs.
«Les réseaux électriques sont stables tant que l'offre est égale à la demande», déclare Saleh Soltan, chercheur au département de génie électrique de Princeton, qui a dirigé l'étude. «Si vous disposez d'un très grand botnet d'appareils IoT, vous pouvez vraiment manipuler la demande, en la modifiant brusquement, à tout moment.»
Selon Soltan, ce déséquilibre induit par un réseau de zombies pourrait entraîner des pannes de courant en cascade. Lorsque la demande dans une partie du réseau augmente rapidement, le courant de certaines lignes électriques peut être surchargé, endommagé ou plus susceptible de déclencher des dispositifs appelés relais de protection, qui coupent l'alimentation lorsqu'ils détectent des conditions dangereuses. La désactivation de ces lignes alourdit la charge des lignes restantes et peut entraîner une réaction en chaîne.
«Moins de lignes doivent transporter les mêmes flux et elles sont surchargées, alors la suivante sera déconnectée et la suivante», explique Soltan. "Dans le pire des cas, la plupart ou la totalité d'entre eux sont déconnectés et vous avez une panne de courant dans la plupart de votre réseau."
Les ingénieurs électriciens prévoient bien sûr les fluctuations quotidiennes de la demande en électricité. Ils prévoient tout, des vagues de chaleur qui, comme on pouvait s'y attendre, entraînent des pics d'utilisation du climatiseur au moment où se terminent les épisodes de feuilleton britannique. des centaines de milliers de téléspectateurs allument leurs bouilloires. Mais l'étude des chercheurs de Princeton suggère que les pirates pourraient rendre ces pics de demande non seulement imprévisibles, mais malicieusement chronométrés.
Les chercheurs ne signalent en fait aucune vulnérabilité dans des appareils ménagers spécifiques, ni ne suggèrent comment exactement ils pourraient être piratés. Au lieu de cela, ils partent du principe qu'un grand nombre de ces appareils pourraient d'une manière ou d'une autre être compromis et contrôlés en silence par un pirate informatique. C'est sans doute une hypothèse réaliste, étant donné la myriade de vulnérabilités que d'autres chercheurs en sécurité et pirates informatiques ont trouvées dans l'Internet des objets. Un discours lors du Kaspersky Analyst Summit en 2016 a décrit les failles de sécurité dans climatiseurs cela pourrait être utilisé pour obtenir le type de perturbation de la grille décrit par les chercheurs de Princeton. Et les pirates malveillants du monde réel ont tout compromis de réfrigérateurs à aquariums.
Compte tenu de cette hypothèse, les chercheurs ont procédé à des simulations dans les logiciels MATPOWER et Power World pour réseaux électriques afin de déterminer le type de botnet susceptible de perturber le réseau de différentes tailles. Ils ont effectué la plupart de leurs simulations sur des modèles du réseau électrique polonais de 2004 et 2008, un système électrique de la taille d’un pays rare et dont l’architecture est décrite dans des documents accessibles au public. Ils ont découvert qu'ils pourraient provoquer une panne en cascade de 86 pour cent des lignes électriques dans le modèle de réseau 2008 en Pologne avec une augmentation de seulement 1% de la demande. Cela nécessiterait l'équivalent de climatiseurs piratés 210,000 ou de chauffe-eau électriques 42,000.
Construire un botnet de la même taille à partir d'appareils IoT plus gourmands en énergie est probablement impossible aujourd'hui, déclare Ben Miller, ancien ingénieur en cybersécurité chez le fournisseur d'électricité Constellation Energy et maintenant directeur du centre des opérations sur les menaces de la société de sécurité industrielle Dragos. Il n'y a tout simplement pas assez d'appareils intelligents à haute puissance dans les maisons, dit-il, d'autant plus que l'ensemble du botnet devrait se trouver dans la zone géographique du réseau électrique cible, et non distribué dans le monde comme le botnet Mirai.
wpDiscuz