Selon un rapport publié par à l’étude par Forescout et Vedere Labs, parmi les matériels concernés, on retrouve notamment des onduleurs et des passerelles de Solar-Log (sous la marque Solare Datensysteme), utilisés aussi bien par des particuliers que des exploitants professionnels.
Zero-day a encore frappé
Ces vulnérabilités permettent à un attaquant à distance de prendre le contrôle des équipements sans avoir besoin d’authentification. Les failles en question sont de type zero-day, c’est-à-dire qu’elles n’étaient pas connues du fabricant avant leur divulgation. En exploitant ces brèches, un pirate pourrait non seulement perturber le fonctionnement de l’installation, mais aussi accéder à des informations sensibles, détourner la production d’électricité ou saboter les échanges avec le réseau.
Ce qui inquiète tout particulièrement les experts, c’est le volume de systèmes exposés et leur rôle croissant dans l’équilibre énergétique. Avec l’essor de l’autoconsommation et des smart grids, de nombreux foyers et entreprises s’appuient sur ces dispositifs pour gérer la production, le stockage et la redistribution d’électricité verte. Une attaque coordonnée pourrait donc avoir un impact bien plus large qu’une simple panne isolée.
Contactée par plusieurs médias, la société Solar-Log a reconnu l’existence de failles et affirme travailler activement à la publication de correctifs de sécurité. En attendant, les utilisateurs sont invités à désactiver l’accès distant à leur passerelle, à vérifier la version de leur firmware, et à surveiller tout comportement anormal de leur installation solaire. Certains experts recommandent même de déconnecter provisoirement les dispositifs du réseau Internet, en particulier s’ils sont accessibles publiquement via une adresse IP.
En France, on ignore encore le nombre exact de foyers concernés, mais le matériel Solar-Log est bien présent sur le marché, y compris dans des kits installés par des professionnels ou disponibles à la vente en ligne. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) n’a pas encore émis de communiqué officiel, mais des consignes pourraient être publiées dans les prochains jours.
Cette affaire met en lumière une réalité encore trop peu prise en compte : la cybersécurité des équipements énergétiques reste un maillon faible de la transition écologique. Alors que les panneaux solaires, bornes de recharge et batteries domestiques deviennent toujours plus connectés, leur sécurité ne suit pas toujours le même rythme que leur adoption massive. Un enjeu majeur pour les années à venir.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
