Les Secrets de Saint Pierre

Linky, le compteur électrique intelligent, protège-t-il vraiment nos données?

01Net du 12 décembre 2015

Gilbert KALLENBORN, journaliste

 

Chiffrement des échanges, composants cryptographiques inviolables, réseaux dédiés… Le gestionnaires ERDF a, semble-t-il, mis le paquet pour sécuriser les données des abonnés.

Depuis le 1er décembre, le gestionnaire du réseau électrique français ERDF a commencé le déploiement généralisé de Linky, le compteur électrique intelligent. Ce nouveau boîtier facilitera non seulement les opérations de gestion pour ERDF et les fournisseurs d'énergie – relève d'index, activation ou coupure de ligne, changement de puissance – mais apportera également de nouveaux services à l'abonné, qui pourra surveiller avec plus ou moins de précision sa consommation, notamment au travers d'un site web.

L'histoire récente montre, néanmoins, que les compteurs électriques intelligents introduisent également des risques nouveaux au niveau de la sécurité électrique et de la protection des données personnelles. En 2011, deux chercheurs en sécurité ont analysé le compteur du prestataire allemand Discovergy. Ils ont montré que les transferts de données n'étaient pas sécurisés, qu'il était possible d'envoyer de faux relevés et que l'historique de consommation (courbe de charge) permettait de déduire des informations précises sur l'activité de l'abonné, par exemple quel film il est en train de visionner.

Risque de black-out

En 2014, deux autres chercheurs en sécurité ont décortiqué un compteur intelligent du fournisseur espagnol Meters and More. Ils ont montré que l'on pouvait les pirater à distance et, par exemple, provoquer un black-out général ! On le voit bien: la question de la sécurité de Linky est primordiale. Contacté par 01net.com, ERDF nous a donné un certain nombre de précisions rassurantes sur ce sujet. Linky envoie ses données de consommation vers un concentrateur qui peut relier jusqu'à plusieurs centaines de compteurs dans une zone. Cet échange de données ne se fait pas par Internet - comme c'est le cas avec Discovergy - mais passe directement par le réseau électrique, grâce à une technologie de courant porteur en ligne. De plus, cet échange est chiffré par un algorithme approuvé par l'Agence nationale de sécurité des systèmes d'information (ANSSI), qui a suivi de près le développement du compteur.

Des réseaux dédiés

Le concentrateur est physiquement installé dans un transformateur, site qui n'est pas accessible au premier venu. Il stocke les données reçues des différents compteurs, et envoie l'ensemble par une liaison GPRS privée vers les datacenters d'ERDF. Là encore, les échanges sont chiffrés. Au niveau du système d’information, les données Linky sont traitées de façon séparée, au travers d’un réseau dédié. Le concentrateur est par ailleurs doté d'un « module de sécurité », c’est-à-dire un composant matériel inviolable qui permet de générer et stocker les clés privées de chiffrement utilisés pour les transferts de données. Si quelqu’un essaie de forcer ce composant, son contenu sera automatiquement effacé et une alerte envoyée. Ce module de sécurité a été certifié selon le standard Critères Communs L4+, qui est également utilisé dans l’informatique bancaire ou dans les réseaux militaires. ERDF nous a par ailleurs confirmé que les compteurs Linky n’étaient pas tous dotés de la même clé de chiffrement, une configuration risquée qui se retrouvait, par exemple, dans les compteurs de Meters and More.

Un intervalle de mesure suffisamment grossier

Concernant la protection de la vie privée, ERDF souligne que l’envoi de la courbe de charge est basé sur le volontariat et peut être révoqué à chaque moment, conformément aux préconisations de la CNIL. L’intervalle de temps entre chaque mesure est au minimum de 10 minutes, ce qui devrait être trop grossier pour pouvoir déduire des informations précises sur l’activité de l’abonné. A titre de comparaison, l’expérience d’espionnage réalisée avec les compteurs de Discovergy s’appuyait sur un intervalle de mesure de deux secondes. Enfin, signalons que le site Internet sur lequel les abonnés pourront consulter leurs données est accessible uniquement en HTTPS.

Somme toute, l’architecture mise en place par ERDF parait donc bien sécurisée. Les hackers vont certainement avoir beaucoup de mal pour le pirater.

 

L'appli magique du MIT pour contrôler tous nos objets connectés

01Net du 16 décembre 2015

Pierre FONTAINE

 

L'appli Reality Editor permet de scénariser des actions automatiques pour tous les objets connectés, même si cet objet est votre voiture. - Reality Editor

Reality Editor permet de relier vos différents objets connectés en les regardant au travers de votre smartphone. C’est aussi un moyen de redonner le contrôle aux utilisateurs dans un monde où l’internet des objets reste obscur.

L’internet des objets n’en finit pas de prendre forme autour de nous, sans qu’on sache trop si on parle d’un futur lointain ou si on y est déjà. Un flou sans doute lié au fait que nos multiples appareils connectés semblent bien isolés les uns des autres, sans qu’on arrive forcément à toujours en tirer le meilleur parti. Soit parce qu’ils ne sont pas faciles à configurer, soit que les moyens de centraliser leur gestion sont encore balbutiants.

C’est à ce problème de communication et de configuration que s’attaque le prestigieux MIT. Non pas en proposant un énième produit à installer au cœur de votre installation, mais en développant une application unique qui les unit tous...

Baptisée Reality Editor et développée pendant trois ans au cœur du Fluid Interfaces Lab, cette appli a pour but de vous aider à relier tous vos appareils connectés de manière simple. Dans la bouche de ses développeurs, cela donne « Reality Editor est un nouvel outil, conçu pour vous donner le pouvoir de connecter et profiter des fonctions de vos objets physiques ».

La réalité augmentée pour créer le lien

Difficile de ne pas voir dans Reality Editor un produit innovant. Pour arriver à ses fins, l’appli joue la carte de la réalité augmentée, avec tout ce que cette technologie a parfois de quasi magique.

Pour illustrer son fonctionnement, le site de l’application fournit plusieurs exemples. Imaginons que tous les objets cités sont connectés. Vous en avez assez que votre voiture soit trop froide en hiver et trop chaude en été lorsque vous y montez le matin… Armé de votre smartphone et de Reality Editor, regardez votre lit au travers de l’écran de votre iPhone. Des cercles apparaissent alors sur votre lit. Maintenant, tournez-vous vers la fenêtre et regardez votre voiture. Vous constatez que les deux objets comportent des points. Reliez-les en traçant littéralement un lien sur l’écran entre les points présents sur chacun des appareils. Un menu contextuel apparaît et vous propose des réglages en fonction des objets sélectionnés. Dès lors, quand vous quitterez votre lit intelligent, la climatisation de votre véhicule se mettra automatiquement en marche.

Power to the people

Certes, les lits connectés n’existent pas pour l’instant. Mais le regard de Reality Editor vise le futur ; la volonté de ce projet de permettre aux utilisateurs de réellement maîtriser et personnaliser les fonctions de leurs objets connectés.

Autrement dit, grâce à Reality Editor, vous pourrez aller au delà du bête fonctionnement prévu par le fabricant de l'objet, interagir différemment avec votre environnement et... vous simplifier la vie. Comme par exemple lorsque vous ferez en sorte que le radio réveil connecté, placé à la tête de votre lit, puisse aussi éteindre l’ampoule connectée qui éclaire votre chambre, sans que vous ayez à vous lever pour atteindre l’interrupteur… Une interaction imprévue mais fort utile.

Difficile à concevoir ? Pensez à If This Then That (IFTTT), l’outil de création de règles qui automatisent les tâches en liant des applications et des services, projetez ce concept dans la réalité, dans le monde physique, et vous n’êtes pas loin d’entrevoir le potentiel de Reality Editor.

Encore du chemin à parcourir

On parle bien de potentiel. Si l’application est disponible et que vous pourrez éventuellement vous amuser avec quelques appareils si vous possédez une ampoule Philips Hue ou un thermostat Nest, la route est encore longue.

Deux chantiers attendent les ingénieurs du projet. Tout d’abord, simplifier la « détection » des objets connectés. A l’heure actuelle, l’authentification d’un objet dans l’application passe par une sorte de code d’identification unique. Bientôt, l’application devrait toutefois être capable d’identifier les objets connectés par leur couleur et leur forme pour faciliter la configuration.

Le second chantier sera plus compliqué. Il s’agira en effet de convaincre les fabricants d’objets connectés et des développeurs d’adopter la plate-forme ouverte Open Hybrid pour que leurs produits soient compatibles.

Open Hybrid est jeune, puisqu’elle a été développée pour le projet, mais elle est essentielle. C’est elle qui sous-tend le système d’interaction en « direct mapping » qui permet de connecter tout et n’importe quoi du bout du doigt...

Comme nous le promet la science-fiction et les fabricants d’objets domotiques depuis des années, la maison de demain pourrait donc être totalement automatisée. Mais la grande nouveauté est que vous aurez le contrôle sur tout ce qui s’y passera. Les objets connectés deviendront autant d’outil au service de votre imagination et parfois de votre paresse. Une bonne nouvelle.

Source : The Reality Editor

 

L’Europe tombe enfin d’accord sur la protection des données

Les Echos du 15 décembre 2015

Gabriel Gresillon

Après quatre ans d'âpres négociations, un accord a été trouvé par l'Union européenne sur la protection des données des utilisateurs des sites et applications des géants d'Internet. - AFP

Un texte très contraignant va harmoniser les règles sur la protection des données en Europe. La question de l’âge de la majorité sur Internet est au cœur de la controverse car il pourrait passer de 13 à 16 ans.

L’épilogue d’une longue bataille. L’Union européenne est finalement parvenue à s’entendre, mardi soir, au sujet d’un texte sur la protection des données impulsé par la Commission européenne en 2012 qui avait suscité, depuis lors, de vives discussions. Entre des entreprises inquiètes de voir s’ériger des barrières à leur activité et des représentants de la société civile soucieux de protection des citoyens, les discussions ont été âpres. Elles débouchent sur un accord qui tente d’apporter des gages aux uns et aux autres. Un accord très contraignant, puisqu’il s’agit d’un règlement, qui s’impose en tant que tel à tous les Etats membres.

Du côté des citoyens, l’idée était de remettre de la confiance dans la machine : d’après Bruxelles, 67% des Européens ont le sentiment de ne pas avoir de contrôle sur les données qu’ils communiquent en ligne. Leurs droits vont donc être renforcés. Le texte leur garantit un meilleur accès aux données les concernant. Il entérine le principe du « droit à l’oubli » par lequel une personne peut exiger que les informations obsolètes la concernant soient supprimées, de même qu’il rend possible la portabilité de ces données, c’est-à-dire le transfert de ces dernières d’une plate-forme vers une autre, sur simple demande.

Enfin, il oblige les entreprises à informer leurs clients si elles ont été victimes d’un piratage. Les négociations ont notamment porté sur le temps dont disposeront ces dernières pour communiquer cette information : initialement de 24 heures, ce temps aurait été triplé.

Soutien aux entreprises

Bruxelles a également présenté son projet comme un soutien aux entreprises dans la mesure où il s’agit de créer des règles homogènes. Il introduit par exemple de la clarté dans les procédures. Les sociétés auront désormais, pour ces sujets, un seul interlocuteur : l’autorité nationale en charge de la protection des données du pays où elles ont leur siège européen.

Pour autant, ce sont bien de nouvelles contraintes qui se profilent pour les entreprises. La plus médiatisée concerne les adolescents : jusqu’à quel âge faut-il considérer que l’accord de leurs parents est nécessaire avant de les laisser accéder à un service en ligne ? Initialement, Bruxelles proposait 13 ans, comme aux Etats-Unis. Mais les Etats-membres, et en particulier la France, ont demandé à repousser à 16 ans l’âge de la majorité numérique.

Dans la dernière ligne droite, les représentants des grandes sociétés de l’internet, Facebook, Google, Snapchat, ont tenté d’alerter sur ce qui constituerait, selon elles, un sérieux casse-tête pour leur activité. Finalement, les Etats membres gardent leur liberté sur ce point : ils peuvent déroger à la règle générale, qui fixe à 16 ans l’âge de la majorité en ligne.

Les entreprises s’inquiétaient également de la dureté des sanctions à leur encontre : le texte prévoit des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des entreprises. Bruxelles a promis une approche mesurée, la sanction étant proportionnelle à l’ampleur du préjudice. Devant ce qui est considéré par certains comme un texte nuisible aux intérêts des entreprises, un autre garde-fou a été proposé, à l’initiative de l’Allemagne. Afin de pouvoir, malgré tout, tirer le meilleur du « big data », les sociétés pourront traiter librement des données dès lors que l’identité précise des personnes aura été effacée.

En savoir plus sur http://www.lesechos.fr/tech-medias/hightech/021562048295-leurope-tombe-enfin-daccord-sur-la-protection-des-donnees-1184956.php?R4TcgFH7Qq1Yq24z.99#xtor=EPR-9-%5Bjournal_22h30%5D-20151215-%5BProv_%5D-1104545%402