Récemment, aux Pays-Bas, un hacker « white hat » a mis au jour une faille importante qui expose de nombreux usagers européens de systèmes photovoltaïques. Selon lui, l’heure est désormais à l’adoption de stratégies plus efficace pour défendre les panneaux solaires.
Piratage des panneaux solaires : l’UE est mal préparée
Comme l’explique le média Natura Sciences dans un article publié en mars 2024, l’Union européenne prévoir de produire 40 % des panneaux solaires nouvellement installés sur ses territoires d’ici 2030. Malgré l’actuelle crise et la concurrence face à la Chine, l’UE désire en parallèle tripler sa capacité solaire afin de la faire passer de 260 à 750 GW. Sous l’impulsion de la Commission européenne, il est donc question d’une augmentation des ventes de panneaux solaires, mais également de batteries et d’onduleurs.
Toutefois, le 15 août 2024, le site d’information européen Euractiv a relaté un piratage éthique de panneaux solaires aux Pays-Bas. Un hacker « white hat » local a en effet pris le contrôle de millions de panneaux solaires intelligents à l’aide d’un programme informatique malveillant de sa propre création. L’objectif ? Mettre en lumière une importante vulnérabilité qui peut créer des dysfonctionnements au sein des infrastructures photovoltaïques. Or, cette faille concerne principalement les onduleurs solaires connectés à Internet.
Cette attaque éthique fait suite à un rapport de la Commission européenne publié le 24 juillet 2024. Ce document révèle que l’UE est mal préparée à une attaque concertée contre son infrastructure énergétique, peu importe si cette attaque provient de pays extérieurs ou intérieurs à l’union. Le fait est que les panneaux solaires ont été décrits comme étant un point vulnérable, notamment aux attaques par DDoS (déni de service distribué) dans le cadre de plusieurs scénarios.
Comment répondre à la menace ?
La principale menace provient de Chine, le principal concurrent de l’UE dans la course à la production de panneaux. L’union reste en effet encore aujourd’hui très dépendante des importations chinoises pour répondre à ses besoins en matière d’énergie. Par ailleurs, la directive européenne actualisée concernant la sécurité des réseaux et des systèmes d’information (NIS2) et le règlement sur la cyberrésilience (Cyber Resilience Act, CRA) représente un bon début de réponse. En revanche, il est nécessaire d’aller plus loin.
« La sécurité de la chaîne d’approvisionnement devrait être abordée plus avant au moyen d’évaluations de suivi des dépendances à l’égard des fournisseurs de pays tiers à haut risque et de l’élaboration d’un cadre de l’UE pour la sécurité de la chaîne d’approvisionnement », peut-on lire dans le rapport. La Commission européenne estime donc que les panneaux photovoltaïques devraient être classés comme produits sensibles et donc faire l’objet d’évaluations beaucoup plus strictes. Or, l’enjeu est de taille, car il en va de la sécurité nationale des états membres.