Vie privée et compteurs intelligents: dangers niés par Hydro

Mise à jour: les ingénieurs de Hydro-Québec soutiennent catégoriquement que le traffic est encrypté sur les compteurs. De plus, nous n'arrivons pas à reproduire les résultats de tests de façon fiable, il faudra donc prendre ce rapport avec un grain de sel. Il est possible que ces communications soient des rapports de d'autres appareils, par exemple des compteurs de gaz.

Ceci n'écarte pas, d'ailleurs des enjeux de vie privée que seule une étude plus poussée, particulièrement avec des antennes directionnelles, pourra révéler.

Avec l'équipe de Réseau Libre, nous avons découvert un enjeu de sécurité majeur avec le déploiement des compteurs dits "intelligents", ces appareils électroniques à radio sans fil qui sont appelés à remplacer les compteurs de courant traditionnels dans toutes nos maisons. Ces compteurs électroniques, malgré ce qu'annonce Hydro-Québec sur leur documentation publique, révèlent clairement la consommation de nos familles, en temps réel. Au lieu de profiter de l'occasion de la mise à jour du réseau électrique pour établir un réseau public, un Réseau-Québec, Hydro-Québec déploie des compteurs qui menacent notre vie privée et sont potentiellement un grave enjeu de sécurité publique.

La "découverte"

Les problèmes des compteurs intelligents sont connus. Plus souvent ciblés pour des enjeux de santé publique, Hydro-Québec a déployé beaucoup d'efforts pour nous assurer qu'ils sont "sécuritaires" au niveau de la santé de la population. Je suis d'ailleurs d'accord avec Hydro sur ce point: les transmissions électromagnétiques sont largement inférieures à ce qu'on voit autour d'un micro-ondes ou d'un téléphone cellulaire.

Mais le véritable enjeu de sécurité ne se trouve en fait pas là: ces compteurs, de par leur fonctionnement, diffusent périodiquement le chiffre affiché sur le compteur. Ceci nous a permis de dresser des graphiques de consommation de notre voisinage avec un minimum d'effort, dont voici un exemple:

>

On pourrait deviner ici que le foyer représenté par la barre verte est allé dormir vers 23h hier soir, par exemple.

Les données transmises par les compteurs ne sont donc pas encryptées, malgré ce que l'information diffusée par Hydro-Québec nous annonce.

Contrairement aux compteurs traditionnels, ces informations sont disponible sur les ondes radios, à une porté allant jusqu'à 500 mètres, possiblement plus avec le bon équipement. En comparaison, les compteurs traditionnelles requièrent une lecture à vue (donc portée beaucoup plus basse), qui est difficile à automatisée, voir impossible lorsque le compteur est à l'intérieur de la maison.

À noter que les graphiques publiés ci-haut sont anonymisés, autant que possible, car la vie privée nous tient à coeur. Nous publions cette information dans le but de sensibiliser la population, mais aussi comme preuve de concept. Des instructions pour reproduire nos résultats sont disponibles au bas de cet article.

Dévoilement responsable

Quand un tel problème de sécurité est détecté, comme chercheurs, notre responsabilité est d'informer immédiatement le responsable pour qu'il puisse corriger le problème. Dès que nous avons fait cette découverte, nous avons avisé HydroQuébec par Twitter:

@HydroQuebec @OptionConso Dans le dépliant pour les nouveaux compteurs, la mention sur l'encryption semble fausse. pic.twitter.com/jrRbXKgZ9n

— Mathieu Lutfy (@MathieuLutfy) March 20, 2014

... mais la réponse a été assez surprenante:

@MathieuLutfy Il ne s'agit pas de données de consommation, lesquelles sont cryptées.

— Hydro-Québec (@hydroquebec) March 20, 2014

@MathieuLutfy Les mécanismes utilisés pour les compteurs sont parmi les plus sécuritaires, comparables à ceux du domaine bancaire.

— Hydro-Québec (@hydroquebec) March 20, 2014

Autrement dit, "tout est correct":

tout est ben correct!

Les enjeux

Les enjeux de cette découverte relèvent de deux facettes: la vie privée et la sécurité publique.

Vie privée

Les données ci-haut permettent clairement d'établir un profil d'utilisation de la consommation électrique d'un foyer. Il est possible d'identifier de quel foyer il s'agit en faisant une lecture sur le compteur (facile) ou par triangulation électromagnétique (difficile).

Une fois cette identification faite, le profil peut permettre d'identifier, par exemple, quand une personne est présente au foyer, quand elle dort, ou pire quand elle est partie en voyage!

Avec de l'équipement un peu plus sophistiqué, beaucoup plus de données pourraient être collectées, dans un quartier complet par exemple.

Sécurité publique

Nous n'avons cependant pas exploré le côté encore plus dangereux de ces compteurs. Présentement, nous utilisons seulement les données en lecture, mais il serait probablement possible d'écrire des données, d'envoyer des signaux radio sur la même fréquence. Certains compteurs peuvent par exemple être limités à une certaine consommation journalière ou carrément éteints à distance.

Il n'a donc pas été possible pour l'instant de démontrer qu'une telle attaque est possible, mais étant donné l'hermétisme avec lequel Hydro procède avec la partie "communications" du déploiement, je ne suis pas rassuré du tout. La sécurité informatique est basée sur la transparence et la revue par les pairs: le fait que Hydro ne publie pas les spécifications de ses appareils est déjà un problème, mais pire encore: ils nient toujours que les données voyagent sans encryption.

Comment pouvons-nous être sûrs qu'un attaquant malicieux ne pourraient pas désactiver n'importe quel (voir tous!) les alimentations électriques de nos quartiers? Ceci pourrait être une attaque dévastatrice sur une infrastructure fondamentale de la vie moderne, pour laquelle Hydro semble incapable de nous offrir de réelle garantie.

Emplois

On peut également glisser au passage que le déploiement de ces appareils va encore mener à des pertes d'emplois.

Vision (ou manque de)

Avec ce déploiement, Hydro a manqué une bonne opportunité. Dans une optique de neutralité des réseaux, Hydro avait la possibilité d'implanter, sur son incroyable réseau électrique, un réseau public et neutre qui concurrencerait avec les fournisseurs de service traditionnels. Des communications sécurisées auraient été plus faciles sur un réseau plus largement utilisé (donc plus difficile à surveiller).

Le réseau électrique d'Hydro pourrait être la base d'une infrastructure réseau neutre qui pourrait être disponible à tous les fournisseurs. Il y a là une grande opportunité de projeter le Québec dans le futur des télécommunications au lieu de constamment être à la remorque des initiatives commerciales. Il est grand temps que nous nous dotions de Réseau-Québec pour communiquer entre nous et assurer que le contrôle des infrastructures de communication soit entre les mains de la population et non d'un Pierre Karl-Péladeau ou un autre.

Mais il semblerait que la recherche et le développement de Hydro se limite maintenant à la facturation et la génération de revenus plutôt qu'une véritable vision d'avenir. Le moteur-roue de l'IREQ est vraiment loin de nous...

Ailleurs dans le monde

De tels réseaux "intelligents" (ou smart grid en anglais) ont été déployés ailleurs dans le monde:

  • en Colombie-Britannique, l'union des municipalités a voté contre le déploiement, mais BC-Hydro continue le déploiement
  • l'Ontario a largement déployé ses compteurs qui, selon iFixit ne seraient pas vulnérables à un contrôle à distance
  • l'Australie a commencé un déploiement massif, mais après une revue du vérificateur général, le programme s'est avéré avoir des problèmes sérieux au regard de la vie privée des utilisateurs et des augmentations de coûts
  • en Hollande, le programme, originalement obligatoire, est devenu facultatif suite à des pressions de groupes citoyens en 2009

Reproduire nos résultats

Quiconque ayant un minimum d'expertise avec GNU/Linux est bien placé pour reproduire nos résultats.

Ingrédients

Vous aurez besoin:

  • d'un récepteur de télévision digitale "DV-B", par exemple: un petit adapteur USB à 18$ sur Amazon, 13$ sur DX.com ou encore moins sur eBay - le modèle importe peu pour vu qu'il ait le chipset RTL2832 ou du moins qu'il puisse recevoir sur la bande 33cm (900MHz) ISM
  • un ordinateur (portable ou non)
  • un fil de cuivre de 18cm (optionnel, pour une meilleure réception)
  • le logiciel RTLAMR et ses dépendences (par exemple, le logiciel RTL-SDR et l'environnement de développement Go)
  • une installation Munin (optionnel: pour faire des jolis graphiques)
  • une installation Debian GNU/Linux (optionnel, mais les instructions sont conçues pour Debian)
  • un peu de patience et une connaissance du terminal

Mode d'emploi

  1. téléchargez et compilez les dépendences:

    sudo apt-get install golang rtl-sdr libfftw3-dev
    
  2. compilez RTLAMR

    export GOPATH=$HOME
    go get github.com/bemasher/rtlamr
    
  3. assurez-vous que le pilote DV-B n'est pas chargé:

    sudo modprobe -r dvb_usb_rtl28xxu
    
  4. branchez l'adapteur USB

  5. optionnellement: coupez le fil électrique en deux, placez une partie sur l'extérieur du coaxical et l'autre partie à l'intérieur - vous venez de fabriquer votre première antenne, une dipôle

  6. lancez rtl-sdr:

    rtl_tcp
    
  7. lancez rtl-amr:

    ~/bin/rtlamr  -logfile rtlamr.log
    
  8. optionnellement: pour avoir les graphiques munin, installez le plugin dans /etc/munin/plugins/amr et relancez munin:

    sudo -i
    wget -O /etc/munin/plugins/amr https://github.com/anarcat/contrib/raw/plugin/amr/plugins/amr/amr
    chmod +x /etc/munin/plugins/amr
    service munin-node reload    
    

Vous devriez voir, après quelques secondes, des signaux reçus par l'adapteur dans le fichier de log rtlamr.log.

Un exemple:

{Time:2014-03-21T08:48:29.175 SCM:{ID:42424242 Type: 7 Tamper:{Phy:2 Enc:1} Consumption: 1008765 Checksum:0x4242}}

42424242 et 0x4242 sont évidemment des chiffres anonymisés. Mais le champ ID: est habituellement lisible sur votre compteur et il est donc assez facile, par une simple lecture, d'identifier avec quel foyer une telle transmission radio est liée.

Remerciements

  • un gros merci à toute l'équipe de Réseau Libre qui m'a aidé à élaborer cet article - Réseau Libre est un regroupement informel de bénévoles spécalistes en réseau sans fil visant à créer un réseau communautaire et de voisinage, indépendant et décentralisé à Montréal
  • merci à Douglas Hall pour son logiciel RTLAMR qui permet de lire l'information des ondes radio
  • merci à Hydro-Québec pour m'avoir franchement diverti dans les derniers 24 heures
  • merci à Koumbit.org pour me permettre d'arriver en retard au travail
Vus : 2715
Publié par anarcat : 13