Vie privée et compteurs intelligents: dangers niés par Hydro
Mise à jour: les ingénieurs de Hydro-Québec soutiennent catégoriquement que le traffic est encrypté sur les compteurs. De plus, nous n'arrivons pas à reproduire les résultats de tests de façon fiable, il faudra donc prendre ce rapport avec un grain de sel. Il est possible que ces communications soient des rapports de d'autres appareils, par exemple des compteurs de gaz. Ceci n'écarte pas, d'ailleurs des enjeux de vie privée que seule une étude plus poussée, particulièrement avec des antennes directionnelles, pourra révéler.
Avec l'équipe de Réseau Libre, nous avons découvert un enjeu de sécurité majeur avec le déploiement des compteurs dits "intelligents", ces appareils électroniques à radio sans fil qui sont appelés à remplacer les compteurs de courant traditionnels dans toutes nos maisons. Ces compteurs électroniques, malgré ce qu'annonce Hydro-Québec sur leur documentation publique, révèlent clairement la consommation de nos familles, en temps réel. Au lieu de profiter de l'occasion de la mise à jour du réseau électrique pour établir un réseau public, un Réseau-Québec, Hydro-Québec déploie des compteurs qui menacent notre vie privée et sont potentiellement un grave enjeu de sécurité publique.
La "découverte"
Les problèmes des compteurs intelligents sont connus. Plus souvent ciblés pour des enjeux de santé publique, Hydro-Québec a déployé beaucoup d'efforts pour nous assurer qu'ils sont "sécuritaires" au niveau de la santé de la population. Je suis d'ailleurs d'accord avec Hydro sur ce point: les transmissions électromagnétiques sont largement inférieures à ce qu'on voit autour d'un micro-ondes ou d'un téléphone cellulaire.
Mais le véritable enjeu de sécurité ne se trouve en fait pas là: ces compteurs, de par leur fonctionnement, diffusent périodiquement le chiffre affiché sur le compteur. Ceci nous a permis de dresser des graphiques de consommation de notre voisinage avec un minimum d'effort, dont voici un exemple:
On pourrait deviner ici que le foyer représenté par la barre verte est allé dormir vers 23h hier soir, par exemple.
Les données transmises par les compteurs ne sont donc pas encryptées, malgré ce que l'information diffusée par Hydro-Québec nous annonce.
Contrairement aux compteurs traditionnels, ces informations sont disponible sur les ondes radios, à une porté allant jusqu'à 500 mètres, possiblement plus avec le bon équipement. En comparaison, les compteurs traditionnelles requièrent une lecture à vue (donc portée beaucoup plus basse), qui est difficile à automatisée, voir impossible lorsque le compteur est à l'intérieur de la maison.
À noter que les graphiques publiés ci-haut sont anonymisés, autant que possible, car la vie privée nous tient à coeur. Nous publions cette information dans le but de sensibiliser la population, mais aussi comme preuve de concept. Des instructions pour reproduire nos résultats sont disponibles au bas de cet article.
Dévoilement responsable
Quand un tel problème de sécurité est détecté, comme chercheurs, notre responsabilité est d'informer immédiatement le responsable pour qu'il puisse corriger le problème. Dès que nous avons fait cette découverte, nous avons avisé HydroQuébec par Twitter:
@HydroQuebec @OptionConso Dans le dépliant pour les nouveaux compteurs, la mention sur l'encryption semble fausse. pic.twitter.com/jrRbXKgZ9n
— Mathieu Lutfy (@MathieuLutfy) March 20, 2014
... mais la réponse a été assez surprenante:
@MathieuLutfy Il ne s'agit pas de données de consommation, lesquelles sont cryptées.
— Hydro-Québec (@hydroquebec) March 20, 2014
@MathieuLutfy Les mécanismes utilisés pour les compteurs sont parmi les plus sécuritaires, comparables à ceux du domaine bancaire.
— Hydro-Québec (@hydroquebec) March 20, 2014
Autrement dit, "tout est correct":
Les enjeux
Les enjeux de cette découverte relèvent de deux facettes: la vie privée et la sécurité publique.
Vie privée
Les données ci-haut permettent clairement d'établir un profil d'utilisation de la consommation électrique d'un foyer. Il est possible d'identifier de quel foyer il s'agit en faisant une lecture sur le compteur (facile) ou par triangulation électromagnétique (difficile).
Une fois cette identification faite, le profil peut permettre d'identifier, par exemple, quand une personne est présente au foyer, quand elle dort, ou pire quand elle est partie en voyage!
Avec de l'équipement un peu plus sophistiqué, beaucoup plus de données pourraient être collectées, dans un quartier complet par exemple.
Sécurité publique
Nous n'avons cependant pas exploré le côté encore plus dangereux de ces compteurs. Présentement, nous utilisons seulement les données en lecture, mais il serait probablement possible d'écrire des données, d'envoyer des signaux radio sur la même fréquence. Certains compteurs peuvent par exemple être limités à une certaine consommation journalière ou carrément éteints à distance.
Il n'a donc pas été possible pour l'instant de démontrer qu'une telle attaque est possible, mais étant donné l'hermétisme avec lequel Hydro procède avec la partie "communications" du déploiement, je ne suis pas rassuré du tout. La sécurité informatique est basée sur la transparence et la revue par les pairs: le fait que Hydro ne publie pas les spécifications de ses appareils est déjà un problème, mais pire encore: ils nient toujours que les données voyagent sans encryption.
Comment pouvons-nous être sûrs qu'un attaquant malicieux ne pourraient pas désactiver n'importe quel (voir tous!) les alimentations électriques de nos quartiers? Ceci pourrait être une attaque dévastatrice sur une infrastructure fondamentale de la vie moderne, pour laquelle Hydro semble incapable de nous offrir de réelle garantie.
Mise à jour (2015-05-28): il s'avère que Hydro-Québec a effectivement la capacité de fermer à distance les compteurs intelligents. Dans une lettre datée du 21 mai 2015 reçu à mon domicile, Hydro-Québec confirme que "la fonctionalité permettant l'interruption à distance du service d'électricité ne sera pas activée, et ce, jusqu'à ce que votre installation soit jugée conforme." L'objet de la lettre était le "Recensement des compteurs d'électricité situés à proximité des réservoirs de propane", qui pourraient être dangereux selon la régie du bâtiment. Hydro procède donc à l'inspection de tous les compteurs intelligents, semblerait-il pour s'assurer qu'ils sont à "distance sécuritaire" de réservoirs de propane..."
Mise à jour (2015-06-04): on m'a d'ailleurs informé qu'il est déjà bien connu que, depuis novembre 2014, les compteurs intelligents ont mené à un nombre de débranchements records soit presque le double de débranchements de l'année précédente. On comprend mieux l'enthousiasme de la compagnie de déployer ce service - on se dépêche de couper le courant avant l'hiver... en faisant fi de la sécurité publique.
Emplois
On peut également glisser au passage que le déploiement de ces appareils va encore mener à des pertes d'emplois.
Vision (ou manque de)
Avec ce déploiement, Hydro a manqué une bonne opportunité. Dans une optique de neutralité des réseaux, Hydro avait la possibilité d'implanter, sur son incroyable réseau électrique, un réseau public et neutre qui concurrencerait avec les fournisseurs de service traditionnels. Des communications sécurisées auraient été plus faciles sur un réseau plus largement utilisé (donc plus difficile à surveiller).
Le réseau électrique d'Hydro pourrait être la base d'une infrastructure réseau neutre qui pourrait être disponible à tous les fournisseurs. Il y a là une grande opportunité de projeter le Québec dans le futur des télécommunications au lieu de constamment être à la remorque des initiatives commerciales. Il est grand temps que nous nous dotions de Réseau-Québec pour communiquer entre nous et assurer que le contrôle des infrastructures de communication soit entre les mains de la population et non d'un Pierre Karl-Péladeau ou un autre.
Mais il semblerait que la recherche et le développement de Hydro se limite maintenant à la facturation et la génération de revenus plutôt qu'une véritable vision d'avenir. Le moteur-roue de l'IREQ est vraiment loin de nous...
Ailleurs dans le monde
De tels réseaux "intelligents" (ou smart grid en anglais) ont été déployés ailleurs dans le monde:
- en Colombie-Britannique, l'union des municipalités a voté contre le déploiement, mais BC-Hydro continue le déploiement
- l'Ontario a largement déployé ses compteurs qui, selon iFixit ne seraient pas vulnérables à un contrôle à distance
- l'Australie a commencé un déploiement massif, mais après une revue du vérificateur général, le programme s'est avéré avoir des problèmes sérieux au regard de la vie privée des utilisateurs et des augmentations de coûts
- en Hollande, le programme, originalement obligatoire, est devenu facultatif suite à des pressions de groupes citoyens en 2009
Reproduire nos résultats
Quiconque ayant un minimum d'expertise avec GNU/Linux est bien placé pour reproduire nos résultats.
Ingrédients
Vous aurez besoin:
- d'un récepteur de télévision digitale "DV-B", par exemple: un petit adapteur USB à 18$ sur Amazon, 13$ sur DX.com ou encore moins sur eBay - le modèle importe peu pour vu qu'il ait le chipset RTL2832 ou du moins qu'il puisse recevoir sur la bande 33cm (900MHz) ISM
- un ordinateur (portable ou non)
- un fil de cuivre de 18cm (optionnel, pour une meilleure réception)
- le logiciel RTLAMR et ses dépendences (par exemple, le logiciel RTL-SDR et l'environnement de développement Go)
- une installation Munin (optionnel: pour faire des jolis graphiques)
- une installation Debian GNU/Linux (optionnel, mais les instructions sont conçues pour Debian)
- un peu de patience et une connaissance du terminal
Mode d'emploi
téléchargez et compilez les dépendences:
sudo apt-get install golang rtl-sdr libfftw3-dev
compilez RTLAMR
export GOPATH=$HOME go get github.com/bemasher/rtlamr
assurez-vous que le pilote DV-B n'est pas chargé:
sudo modprobe -r dvb_usb_rtl28xxu
branchez l'adapteur USB
optionnellement: coupez le fil électrique en deux, placez une partie sur l'extérieur du coaxical et l'autre partie à l'intérieur - vous venez de fabriquer votre première antenne, une dipôle
lancez rtl-sdr:
rtl_tcp
lancez rtl-amr:
~/bin/rtlamr -logfile rtlamr.log
optionnellement: pour avoir les graphiques munin, installez le plugin dans
/etc/munin/plugins/amr
et relancez munin:sudo -i wget -O /etc/munin/plugins/amr https://github.com/anarcat/contrib/raw/plugin/amr/plugins/amr/amr chmod +x /etc/munin/plugins/amr service munin-node reload
Vous devriez voir, après quelques secondes, des signaux reçus par l'adapteur dans le fichier de log rtlamr.log
.
Un exemple:
{Time:2014-03-21T08:48:29.175 SCM:{ID:42424242 Type: 7 Tamper:{Phy:2 Enc:1} Consumption: 1008765 Checksum:0x4242}}
42424242
et 0x4242
sont évidemment des chiffres anonymisés. Mais le champ ID:
est habituellement lisible sur votre compteur et il est donc assez facile, par une simple lecture, d'identifier avec quel foyer une telle transmission radio est liée.
Remerciements
- un gros merci à toute l'équipe de Réseau Libre qui m'a aidé à élaborer cet article - Réseau Libre est un regroupement informel de bénévoles spécalistes en réseau sans fil visant à créer un réseau communautaire et de voisinage, indépendant et décentralisé à Montréal
- merci à Douglas Hall pour son logiciel RTLAMR qui permet de lire l'information des ondes radio
- merci à Hydro-Québec pour m'avoir franchement diverti dans les derniers 24 heures
- merci à Koumbit.org pour me permettre d'arriver en retard au travail
Beau délire paranoïaque, à la limite de la maladie mental cet article. Qu'es-ce qu'on n'a à foutre à quel heure madame Beaulieu va se coucher???
Et votre tv et vos lumiere represente environ 3 a 5% de votre consommation électrique.. alors de se fier à ca pour dire à quel heure la personne est couché tien de l'hérésie.
Et pour finir... ON NE PEUT PAS SECTIONNER LE COURANT D'UNE MAISON À DISTANCE PEUX IMPORTE LE COMPTEUR!! ON PARLE PARLE PAS DE TELECOM ICI MAIS D'ÉLECTRICITÉ!! FAUT FAIRE LE DÉBRANCHEMENT PHYSIQUEMENT!!
En tant qu'électricien et ancien technicien de chez vidéotron votre article et l'autre intitulé Réseau-Québec sont remplis de fausseté venant d'une personne qui ni connait rien en électricité et telecom.
Simon Fleury, Québec
À priori, vous n'avez pas tors de dire que l'on ne peut pas couper le courant dans une résidence à distance (actuellement au Québec). Et le but de l'article n'était pas là. Je pense par contre que mettre au grand jour les faiblesses des compteurs soit disant intelligents d'HQ est une bonne chose en soit! Je suis pour des compteurs plus performants, qui pourraient ajuster le tarif en fonction des heures de pointes ou autre comme c'est le cas d'en d'autres pays depuis des dizaines d'années! HQ est très fort côté production mais d'un point de vue distribution a certainement 50 ans de retard si on compare leur réseau à celui d'Électricité de France. Les techniciens d'ERDF peuvent activer tout le réseau Moyenne tension à partir de leur véhicule de fonction depuis des dizaines d'années... Vu sous cet angle, il me parais important de pouvoir être certain du niveau de sécurité des réseaux de transmission utilisé par notre compagnie d'état. Le fait de connaitre la consommation d'untel ne vous semble pas critique mais le fait d'établir une communication avec le compteur aussi facilement, m'inquiète par contre ! Si comme électricien, vous êtes assuré de ne pas vous faire couper le courant tant mieux ! mais si comme technicien en telecom cette faille de sécurité vous laisse froid alors que l'on parle de sécurité informatique tous les jours, vos anciens clients videotron (dont je fais partie) peuvent s'inquiéter bonne réflexion, Arnaud,
Je viens de tester le POC sur mon ordi et ahha je peux faire de l'injection de données à travers le réseau avec l'aide de ma clé usb RTL-SDR et un ordi avec Linux.
Même si tu a déjà travaillé comme "technicien", ta perception technologique semble limitée
Mange moins de ramen conseil d'ami
STEACK
Bonjour, Merci pour le partage des infos. Pas vraiment nouveau, un chercheur Australien à documenté cette brèche récemment et à donc soulevé le risque de contamination de tout un secteur utilisant cette technologie. Pierre
je suis d'accord avec vous sur plusieurs choses, bien que je ne crois pas que l'accès aux armes à feu assure l'indépendance d'un peuple... de plus, je crois que le chauffage à bois dans les grandes villes ne fait pas beaucoup de sens à cause des graves problèmes de pollution engendrés par ce modèle.
ceci dit, les voitures sont bien pires que ces deux dangers présentement et on continue allégrement à financer ce mode de transport avec les ponts et autoroutes...
ben oui, pourquoi pas en fait. je suis pour l'interdiction de l'automobile dans les grandes villes et je me déplace presque exclusivement en vélo.
ce n'est pas une question de taxes autant qu'une question de politique de relations publiques. réduire l'utilisation de l'automobile, c'est comme monter les impôts, c'est pas une mesure qui fait gagner des élections, parce que le monde tiennent à leur estie de char, malgré que ça soit une des principales causes de décès, toutes causes confondues, chez les jeunes de 15 à 30 ans et que la moitié des décès ne sont pas les conducteurs de voitures (wikipedia). L'automobile est également la première cause de décès accidentels, toute catégorie confondue (wikipedia).
Je serais également prêt de mettre la faute sur les puissants lobbies de l'automobile (pensez GM et Boisbriand..) et des médias, les deux intimement reliés par de lucratifs contrats de publicités, d'ailleurs, que vos pauvres taxes.
Mais de toute façon, si j'ai bien compris votre point, la proposition d'interdire l'automobile est plus l'argument fallacieux de l'épouvantail) qu'une véritable intention de réduire l'intention de l'automobile car, si j'ai bien compris, le char, c'est la libarté pis faut pas y toucher.
Pour ce qui est des voyages sur la Lune et sur Mars, ou des vols d'avions, faudrait savoir dans quelle cour vous voulez pelleter ce problème, à moins que vous vouliez également interdire les vols (spatiaux ou aériens).
Donc oui, interdisons les voitures. Et considérons sérieusement l'aménagement d'aéroports hors des grands centres urbains et cessons de subventionner ces deux industries hyper-polluantes. Mais il restera à voir si vous serez prêt à vous passer de votre iPod (livré par Fedex) et de votre voyage dans le sud au mois de janvier...
Je ne suis pas un expert, mais je crois que ce que tu vois c'est le data de "vieux" compteurs intelligents installés fin 1990. Il y en aurait eu environ 100000 installés au Québec [1]. Ils fonctionnent cependant entre le 400 et 500mhz [2].
Je crois qu'HQ à raison de dire que les nouveaux compteurs de Landis-Gyr utilisent de l'encryption pour la transmission de data. [3]
100000 compteurs c'est beaucoup et j'ai jamais entendu personne se plaindre.
ça serait surprenant que ça soit des appareils dans le 400-500MHz étant donné que le logiciel que j'ai utilisé est réglé explicitement sur 900MHz. Il y a toujours les harmoniques, mais de là à générer un signal pertinent...
je ne suis pas sûr que les signaux qu'on ait reçu ait une quelconque signification... mais il reste que des systèmes encryptés secrets, ce ne sont pas des systèmes sécuritaires, par définition. de plus, les enjeux au niveau des emplois et du manque de vision de Hydro demeurent valides.