Les cyberattaques de type “homme du milieu” (MITM) sont un type particulier de menace cyber visant un large éventail de systèmes numériques et cyber-physiques où deux parties communiquent via un réseau, en particulier lorsque la communication n’est pas fortement authentifiée ou chiffrée. Ces attaques impliquent qu’un attaquant intercepte la communication entre un émetteur et un récepteur en divisant le canal d’origine en deux : un entre l’émetteur et l’attaquant, et un autre entre l’attaquant et le récepteur. Par conséquent, le récepteur ne peut pas accéder directement aux messages de l’émetteur.
Les attaques MITM peuvent également cibler les systèmes photovoltaïques et les centrales solaires connectées au réseau, permettant aux attaquants d’intercepter, de modifier ou de perturber les communications entre les contrôleurs, les onduleurs et les systèmes de supervision, ce qui peut conduire à des défaillances opérationnelles.
Ces attaques peuvent également endommager physiquement les onduleurs, les transformateurs ou les panneaux et accélérer l’usure des équipements. En outre, elles peuvent entraîner des pertes financières importantes dues à une baisse de la production d’énergie et à des réparations coûteuses, tout en créant des risques pour la sécurité du personnel. De plus, les parties prenantes peuvent perdre confiance dans le système et les opérateurs peuvent faire face à des sanctions réglementaires en cas de non-conformité.
Dans l’ensemble, ces attaques combinent des risques opérationnels, physiques, financiers et de cybersécurité, rendant les centrales solaires connectées vulnérables.
« Une façon simple de comprendre est que l’attaquant devient un intermédiaire invisible. Pour un exploitant solaire, imaginez qu’un service O&M envoie une commande de mise à jour logicielle à une centrale. Le système SCADA local semble confirmer qu’elle a été reçue et exécutée, mais en réalité l’intermédiaire ne transmet jamais la commande. Cela peut aussi empirer si la commande légitime est remplacée par une commande malveillante envoyée aux onduleurs », explique Uri Sadot, directeur général de SolarDefend et président du groupe de travail Digitalisation de SolarPower Europe, à pv magazine.
Modes opératoires
Les attaques MITM peuvent fonctionner en mode écoute, capturant silencieusement des données sensibles telles que des commandes de contrôle, des configurations système et des indicateurs de performance sans alerter les opérateurs. Elles peuvent également fonctionner en mode interception ou altération, où l’attaquant ne se contente pas de surveiller mais modifie aussi les communications, injectant de fausses informations ou commandes susceptibles d’induire en erreur les systèmes automatisés ou les opérateurs humains. Dans les réseaux intelligents, cette double capacité permet aux attaquants de manipuler les flux d’énergie, de déclencher des arrêts inutiles ou de masquer des défauts, amplifiant les conséquences opérationnelles, financières et en matière de sécurité.
Pour les systèmes photovoltaïques, une attaque MITM commence généralement lorsque l’attaquant se positionne entre des composants critiques, tels que les onduleurs, le système SCADA ou la plateforme de supervision. Cela est généralement réalisé en accédant au réseau de la centrale via un routeur, une liaison Wi-Fi ou une connexion de maintenance. Une fois en place, l’attaquant redirige les communications afin que les données transitent par son dispositif plutôt que directement entre les systèmes. Les techniques courantes dans les réseaux photovoltaïques locaux incluent le spoofing ARP et l’usurpation de passerelle. Dans le spoofing ARP, l’attaquant envoie de faux messages réseau pour faire croire aux appareils qu’ils communiquent avec la passerelle légitime, redirigeant ainsi le trafic vers lui. L’usurpation de passerelle consiste à se faire passer pour le routeur du réseau afin que toutes les communications passent par le système de l’attaquant.
Une fois dans cette position, l’attaquant peut commencer à surveiller ou modifier les données énergétiques et les commandes de contrôle, tout en analysant les schémas de communication et en identifiant des informations sensibles. À ce stade, l’attaque est généralement passive avant de passer à une manipulation active. À l’étape suivante, l’attaquant peut manipuler activement le trafic, modifier les données, injecter de fausses commandes ou bloquer des messages légitimes, ce qui lui permet de contrôler ou de perturber le comportement du système. Enfin, l’attaquant peut exploiter le système pour atteindre des objectifs tels que la perturbation ou le vol de données.
« Un bon exemple de ce type de perturbation s’est produit au Danemark au printemps 2023, précise Uri Sadot. En quelques jours, près de deux douzaines de centrales solaires et d’autres actifs énergétiques ont été victimes d’une attaque. Les attaquants ont trouvé une vulnérabilité commune dans les pare-feu protégeant ces sites et ont réussi à pénétrer leurs réseaux internes. »
Une fois à l’intérieur, les attaquants ont fortement perturbé les opérations des installations, comme l’a rapporté le centre de cybersécurité danois SectorCERT. « Personne n’aime en parler, mais ces types d’attaques se produisent en permanence. Si certains pays et entreprises choisissent la transparence et divulguent ouvertement les incidents cyber, la grande majorité préfère ne pas les signaler », complète-t-il.
Défense
Une défense possible contre les attaques MITM dans les systèmes photovoltaïques consiste à mettre en œuvre des communications chiffrées, des protocoles d’authentification robustes et une surveillance continue du trafic inhabituel ou des appareils non autorisés. Si ces mesures sont appliquées, des outils traditionnels comme les pare-feu, qui peuvent être facilement contournés par des attaques MITM modernes, deviennent plus efficaces pour segmenter et contrôler le trafic réseau, appliquer une authentification forte et des contrôles d’accès, chiffrer toutes les communications entre composants et surveiller en continu le réseau à la recherche d’activités inhabituelles ou non autorisées.
La segmentation réseau standard peut également aider à protéger les systèmes photovoltaïques contre les MITM en isolant des composants critiques comme les onduleurs, les systèmes SCADA et les plateformes de supervision dans des zones distinctes. Cela limite la propagation des attaques si un segment est compromis. Cependant, des communications essentielles traversent souvent encore ces segments, laissant des opportunités aux attaques MITM. Sans chiffrement, authentification forte et surveillance continue, les attaquants peuvent intercepter ou manipuler le trafic au sein d’un segment.
Les systèmes de détection d’intrusion (IDS) peuvent également aider à détecter les attaques MITM dans les systèmes photovoltaïques en surveillant le trafic réseau à la recherche de schémas inhabituels ou d’anomalies de protocole. Ils fournissent des alertes précoces lorsque des communications sont interceptées ou modifiées et peuvent identifier des problèmes tels que des réponses ARP dupliquées ou des changements de routage inattendus. Toutefois, ils ne peuvent pas empêcher les attaques à eux seuls, en particulier si le trafic est chiffré ou si l’IDS n’est pas adapté aux protocoles photovoltaïques. Pour de meilleurs résultats, les IDS doivent être combinés avec le chiffrement, une authentification forte et la segmentation réseau dans le cadre d’une défense multicouche.
« Aux États-Unis, les systèmes de détection d’intrusion (IDS) sont récemment devenus obligatoires pour les grandes centrales solaires dans le cadre de la dernière révision de la norme NERC CIP (CIP-015), explique le spécialiste. Bien que cette exigence ne soit pas encore adoptée en Europe, la directive NIS 2 de l’UE impose aux opérateurs solaires de concevoir et d’exploiter leurs actifs conformément aux principes IEC 62443 et au modèle Purdue. Par conséquent, les deux marchés évoluent dans la même direction : prévenir, détecter et répondre aux cyberattaques, avec une part croissante de responsabilité transférée au propriétaire des actifs. »
Selon l’expert en cybersécurité, les propriétaires d’actifs ne doivent pas se laisser submerger par toutes les exigences techniques. « La cybersécurité n’est pas si différente de la sécurité physique, conclut-il. Si votre centrale dispose d’une clôture solide, de caméras surveillées et d’un système d’alarme, elle sera assurée et vous dormirez tranquille, sans avoir besoin d’être expert en barbelés ou en ingénierie de caméras. La cybersécurité fonctionne de manière similaire. Vos centrales ont besoin de réseaux informatiques solides, de pare-feu correctement configurés et d’une surveillance 24h/24 et 7j/7, généralement via un centre des opérations de sécurité (SOC). Si vous disposez d’un IDS, c’est encore mieux. Certains prestataires O&M proposent tout cela comme un service clé en main, ou vous pouvez le mettre en place vous-même avec un consultant. Assurez les bases et vous disposerez d’actifs assurables, sans risque de non-conformité, et vous dormirez vous aussi parfaitement la nuit. »
Ce contenu est protégé par un copyright et vous ne pouvez pas le réutiliser sans permission. Si vous souhaitez collaborer avec nous et réutiliser notre contenu, merci de contacter notre équipe éditoriale à l’adresse suivante: editors@pv-magazine.com.
En transmettant ce formulaire vous acceptez que pv magazine utilise vos données dans le but de publier votre commentaire.
Vos données personnelles seront uniquement divulguées ou transmises à des tierces parties dans une optique de filtre anti-spams ou si elles s’avèrent nécessaires à la maintenance technique du site web. Un transfert de vos données à des tierces parties pour toute autre raison ne pourra se faire que s’il est justifié par la législation relative à la protection des données, ou dans le cas où pv magazine y est légalement obligé.
Vous pouvez révoquer ce consentement à tout moment avec effet futur, auquel cas vos données personnelles seront immédiatement supprimées. Dans le cas contraire, vos données seront supprimées une fois que pv magazine aura traité votre requête ou lorsque le but du stockage des données est atteint.
Pour de plus amples informations sur la confidentialité des données, veuillez consulter notre Politique de Protection des Données.