Piratage de l'éclairage public : état des lieux / quelles solutions ?

[HPM]

Dans la série "faisons nous peur", abordons le sujet délicat de la sécurité des installations.

Dans cette vidéo mise en ligne en 2009, des petits malins s'amusent à jouer avec les lumandars et autres dispositifs d'allumage de l'éclairage public de Charleville-Mézières (c'est ma ville d'origine, mais je vous assure que je n'y suis pour rien !)




Mais il y a quelques semaines, un reportage du magazine Envoyé Special sur France 2 a défrayé la chronique dans le sud de la France. Un hacker contacté pour le reportage a réussi à intercepter les bornes de paiement de parking connectées de la ville de Nice, et à débiter de l'argent depuis une autre carte bleue qui utilisait ce système. Depuis le reportage, ce système a été suspendu à Nice.

Dans ce même reportage, le hacker affirme également pouvoir prendre le contrôle des capteurs Cisco installés sur les mâts d'EP de Nice (ville qui se veut "première ville connectée de France"). Ces capteurs servent à moduler la puissance des lampes en détectant le nombre de smartphones situés à proximité.

Extrait du reportage :




Sur certains sites internet, on trouve même le mode d'emploi pour prendre le contrôle à distance d'un système de gestion de l'éclairage public, comme celui-ci : http://furrtek.free.fr/?a=epar

Un petit malin peut donc facilement prendre le contrôle de l'éclairage public d'un secteur, voire d'une commune. Ces paramètres sont-ils pris en compte par les fabricants, les installateurs et les collectivités ? Quelles sont les solutions qui peuvent être apportées à ces failles de sécurité ?

[Lux'Or]

Merci d'avoir ouvert ce sujet de discussion intéressant et d'actualité. Au vu de nombreux cas de piratages actuels (je ne parle pas dans l'éclairage), on commence à prendre réellement conscience que ce type de réseaux peut se transformer en de véritables passoires.

Les objets connectés et solutions intelligentes sont annoncées comme étant d'avenir, que ce soit à l'échelle d'une montre où d'une agglomération.

Le problème de la sécurité se pose de plus en plus. Jusqu'à présent (je parle en ce qui concerne l'éclairage et les solutions appliquées à l'environnement urbain ("smart cities")) il semblerait que l'énergie déployée (en terme de moyens humains et donc financiers) pour le développement de ces systèmes concerne le fonctionnement en temps que tel des systèmes, la sécurité arrivant en second plan.
Que l'on soit clair et sans langue de bois, je pense qu'on ne se pose pas suffisamment la question de la sécurité lorsque sont développés ces solutions. En effet, on se dit trop souvent "est-ce que quelqu'un va-t-il réellement s'amuser à pirater l'éclairage ? Non". De ce fait, si les systèmes sont sécurisés pour des infiltrations "amateurs", je me pose la question quant au piratage de haut vol...

Et lorsque tout fonctionne en réseau avec des liens vers des données bancaires (cf. Nice dans le reportage), là se pose la question des risques majeurs d'une cyber-attaque.

[Phozagora]

Je serais tenté de dire qu'il suffit d'installer au niveau d'un poste de contrôle central un dispositif en forme de switch (hardware) qui permet de choisir entre un mode auto (capteurs) et un mode manuel (commandes actionnées humainement à partir du poste de contrôle). Premier choix par défaut, basculement (switch) sur le second en cas de problème.

Au même titre que, cellule photo-éclectrique existante ou non, la possibilité d'allumer (en plein jour) ou d'éteindre (en pleine nuit) l'EP reste possible.

[HPM]

Que l'on soit clair et sans langue de bois, je pense qu'on ne se pose pas suffisamment la question de la sécurité lorsque sont développés ces solutions. En effet, on se dit trop souvent "est-ce que quelqu'un va-t-il réellement s'amuser à pirater l'éclairage ? Non". De ce fait, si les systèmes sont sécurisés pour des infiltrations "amateurs", je me pose la question quant au piratage de haut vol...

On est entièrement d'accord  :like: 
S'ajoute à cela un fort sentiment d'impuissance, car tant qu'il n'y a pas eu d'attaques, il est très difficile de détecter des éventuelles failles.

Au même titre que, cellule photo-éclectrique existante ou non, la possibilité d'allumer (en plein jour) ou d'éteindre (en pleine nuit) l'EP reste possible.

Tout à fait. Les lumandars disparaissent peu à peu des rues, mais la sécurité des armoires ne suit pas. Il faut aussi accepter d'en mettre le prix. La plupart des armoires sont d'avantage protégées contre l'affichage sauvage que contre l'effraction. Je me souviens avoir ouvert une armoire avec une simple clé de voiture (il n'y avait qu'un petit loquet en plastique).

[Lux'Or]

S'ajoute à cela un fort sentiment d'impuissance, car tant qu'il n'y a pas eu d'attaques, il est très difficile de détecter des éventuelles failles.

Je dirais qu'à l'inverse d'un produit qui subit des tests mécaniques normés et identifiés, un système intelligent de type réseau n'en subit pas vraiment. Il est sécurisé pour être protégé des attaques dont le genre est connues. En gros ça se décide sur une échelle de risque. Un niveau de protection qui semble réaliste et adapté est décidé.
Si on dit imager cela, je dirais que c'est finalement comme pour une voiture : jusqu'à quel niveau la rend-t-on indestructible ?

De plus, plus un système est sécurisé, plus il devient complexe. Il sera donc plus long et difficile à concevoir, à programmer et aussi à maintenir.


Et pour compléter ces propos, connaissez-vous Shodan ?
Il s'agit justement d'un moteur de recherche qui référence et permet d'accéder à des objets connectés peu ou pas sécurisés (ça va de la webcam personnel à la vidéo surveillance d'une ville).
Nous ne sommes pas dans la fiction mais bien dans la réalité.  
  http://www.shodanhq.com/
Plus d'info sur :
http://www.breizh-info.com/13356/actualite-societale/shodan-site-internet-met-en-danger-vie-privee-securite/
http://rue89.nouvelobs.com/2014/06/09/jai-pris-les-commandes-camera-ai-retrouves-252793

Tout à fait. Les lumandars disparaissent peu à peu des rues, mais la sécurité des armoires ne suit pas.

Oui, il s'agit là de sécurité "physique" si je puis dire.

Quant à la vidéo où le type se sert d'un laser pour éteindre l'éclairage public c'est moins grave car il s'agit là d'une intrusion que je qualifierait comme "physique" et mécanique. Il n'entre pas dans le système et le réseau de contrôle de l'éclairage mais apporte simplement de la lumière sur la cellule. (J'avoue d'ailleurs l'avoir déjà fait)
C'est donc moins grave car l'installation fonctionnera à nouveau quelques minutes après le temps que les lampes se réamorcent et que le type ait fini de faire mumuse.  La sécurité de l'installation avec extraction de données possibles n'est donc pas en jeux puisqu'il n'y a pas échanges de données justement.

D'ailleurs la solution est l'utilisation d'horloges astronomiques.

[Invité]

Faire des économies d'énergie en informatisant les installations d'éclairage constitue pour moi une avancée quelque peu scabreuse au vu des piratages qu'il peut y avoir.
Il y aura toujours des hackers qui s'amuseront à mettre le bazar dans nimporte quelle installation et ca se saurait si une solution aurait été trouvée pour les en empêcher.
Couper l'EP d'une rue voir d'une ville peut être utilisé pour faire un cambriolage.
L'horloge astro reste pour moi la meilleure facon simple de commander une armoire d'EP. Ca coûte pas plus cher qu'un Lumandar.
La gestion de puissance peut se faire simplement point par point ou de manière centralisée.
Donc je ne comprend du coup pas pourquoi on s'amuse à informatiser des points lumineux, si ce n'est pour en connaitre l'état via une GTC, ce qui est utile, le reste est pour moi gadget et frime...

[Lux'Or]

Oui mais quid de la télégestion et de l'éclairage dynamique (exemple mise en lumière de façade) avec une simple horloge astro.
Elle ne fait qu'assurer des déclenchements horaires.

[Lux'Or]

En fait, quand à la pertinence des installations intelligentes, la question commence à ne plus se poser. A mon sens ce n'est pas parce qu'il peut y avoir des failles dans la sécurité qu'on doit remettre en cause le bien fondé de ces solutions. Il "suffit" (bien que pas simple) d'identifier ses failles et bien déterminer l'échelle de risques pour mettre en place des protections et des remèdes en cas d'attaques.

Car rappelons le, ces systèmes vont se généraliser avec l’essor de la LED. Cette technologie est incomparable aux sources traditionnelles en terme de souplesse, possibilités d'effets etc. En entre donc dans une nouvelle dimension : On n'adapte pas les usages à la lumière mais c'est désormais la lumière qui s'adapte à l'homme. Ce qui signifie concrètement qu'elle est modulée et adaptée en temps réelle aux besoins et envies de la ville.

Ainsi, à l'échelle de la ville, si on veut profiter pleinement de la technologie LED et en tirer un excellent retour sur investissement rapide, il faut qu'elle soit associée à une "intelligence".
C'est comme acheter une Ferrari pour ne l'utiliser qu'en Zone 30 dans Paris.
 ::

[Invité]

Avoir un SUV dans Paris ?!

[Lux'Or]

Oui, en Zone 30 c'est l'utiliser à 2% de ses capacités.
(Bon, pour le nom "Paris" c'est un exemple...)

[Invité]

Effectivement, sale défaut des parisiens de ne parler que de leur ville  :lol: 

[Lux'Or]

Oui bon on a compris l'exemple, j'allais pas dire Sucy-en-Brie non plus hein, ça aurait été encore pire.

[Invité]

Ici on peut avoir un SUV, pour aller en forêt par exemple  :pirat: 

[Lux'Or]

(c'est vrai que la forêt est omniprésente en IDF...  )
Oui bon bref on s'en fou, SUV ou pas c'était un exemple.

[Actelum]

Bonjour ,
Sujet super intéressant et bien renseigné.
Je ne pense pas que ce soit le risque d'un black-out de l'éclairage qui soit le cœur du problème (et encore, John McClane AKA Bruce Willis saura trouver le méchant qui a coupé la lumière pour faire le casse du siècle). Mais à l'heure des Smarts-Grids, c'est un point d'entrée sur des réseaux de données à plus grande échelle... (et les pirates informatiques ont surtout une grande clairvoyance pour trouver les failles et les moyens de contourner les problèmes).
Un peu plus en avant encore, on prévoit dès demain d'étendre les réseaux de distribution de données Wi-fi à l'éclairage via le Li-Fi (le candélabre et ses diodes deviennent des moyens de transmettre l'information), la protection de ces réseaux devient donc plus que nécessaire, car nous utiliserons ces solutions de plus en plus en mobilité, comme par exemple pour nous connecter à notre banque en ligne par exemple).

Enfin, il y aurait un coté tout à fait subversif à aller hacker certaines installations dynamiques dont la prise de main à distance peut se faire ... (balancer du Rouge sur une façade) quand on sait que les matrices de points permettent au delà de la lumière d'afficher plus ou moins du texte.... bref on y est pas encore pour les 10 prochaines années.... mais pour les suivantes rien n'est moins sûr.

Impossible de retrouver la petite vidéo de Teaser de la Fête des Lumières 2014? ou 2013? ou l'on voyait un groupe de "lighting guerrilleros" monter sur la colline de Fourvière, avec un ordinateur, couper a distance  l'éclairage public de la Ville de Lyon pour allumer un Grand "8 décembre" sur la seule tour de la Part-Dieu...  Si quelqu'un retrouve le lien .

[Lux'Or]

Bonjour, 

Voici un bel exemple concret qui prouve qu'il est possible de prendre la main sur les réseaux intelligents de la ville lorsque ceux-ci ne sont pas suffisamment protégés.

Source et lien : http://www.20minutes.fr/lille/1676695-20150901-video-comment-ecrire-bite-chatte-couille-panneaux-signaletiques



Apparemment l'auteur des faits aurait déjà pris la main sur le réseau d'éclairage public.

[Invité]

Dans la série je sais pas quoi foutre de ma life...
L'est tant qu'ils rentrent en cours les morpions :lol:

Cela dit ce hacker peut avoir 40 ans...

[KevEsthelux]

Et bien en voilà encore une après les panneaux de contrôle de vitesse.
Je pense que tout ça n'est pas assez protéger.

[Phozagora]

Je préfère encore ça qu'un mec qui agresse une grand-mère. Ça a au moins le mérite de me faire sourire !

[KevEsthelux]

Oui c'est toujours mieux.

[Lux'Or]

Je préfère encore ça qu'un mec qui agresse une grand-mère. Ça a au moins le mérite de me faire sourire !

Ahahah oui avis partagé, bon même s'il aurait pu être plus créatif sur les mots qu'il a choisi.

[Contenu sponsorisé]