James Showalter décrit un scénario de cauchemar assez spécifique sinon entièrement invraisemblable. Quelqu’un monte jusqu’à votre maison, craque votre mot de passe Wi-Fi, puis commence à jouer avec l’onduleur solaire monté à côté de votre garage. Cette boîte grise sans prétention convertit le courant direct de vos panneaux sur le toit en un courant alternatif qui alimente votre maison.
«Vous devez avoir un harceleur solaire» pour que ce scénario se joue, explique Showalter, décrivant le genre de personne qui aurait besoin de se présenter physiquement dans votre allée avec le savoir-faire technique et la motivation de pirater votre énergie domestique.
Le PDG d’Eg4 Electronics, une entreprise basée à Sulfur Springs, au Texas, ne considère pas cette séquence d’événements particulièrement probable. Pourtant, c’est pourquoi Company la semaine dernière s’est retrouvée sous les projecteurs lorsque l’agence américaine de cybersécurité CISA a publié un conseil détaillant les vulnérabilités de sécurité dans les onduleurs solaires d’EG4. Les défauts, a noté CISA, pourraient permettre une attaque avec accès au même réseau qu’un onduleur affecté et son numéro de série pour intercepter les données, installer un firmware malveillant ou seixte contrôle du système blanc.
Pour les environ 55 000 clients qui possèdent le modèle d’onduleur affecté par EG4, l’épisode se sentait probablement comme une introduction pertinente à un appareil qu’ils comprennent peu. Ce qu’ils apprennent, c’est que les onduleurs solaires modernes ne sont plus de simples convertisseurs de puissance. Ils servent désormais de l’épine dorsale des installations d’énergie domestique, de surveillance des performances, de communiquer avec les sociétés de services publics et, quand?
Cela s’est produit en grande partie avec les gens qui remarquent. «Personne ne savait ce que l’enfer d’un onduleur solaire était il y a cinq ans», observe Justin Pascale, un consultant principal chez Dragos, une entreprise de cybersécurité spécialisée dans le système industriel. «Maintenant, nous en parlons au niveau national et international.»
Déactions de sécurité et plaintes des clients
Certains des nombres mettent en évidence le degré de des maisons individuelles aux États-Unis deviennent des centrales miniatures. Selon la US Energy Information Administration, les installations solaires à petite échelle primaires-grembres résidentielles plus de cinq ans entre 2014 et 2022. Ce qui était autrefois la province des défenseurs du climat et des adoptants précoces est devenu plus courant en raison de la baisse des coûts, de l’incitation au gouvernement et de la sensibilisation croissante au changement climatique.
Événement TechCrunch
San Francisco
|
27-29 octobre 2025
Chaque installation solaire ajoute un autre nœud à un réseau en expansion de dispositifs interconnectés, chacun contribution à l’indépendance de l’énergie, mais devenant également un point potentiel pour une personne malveillante.
Lorsqu’il a été pressé sur les normes de sécurité de son entreprise, Showalter reconnaît ses lacunes, mais il déville également. «Ce n’est pas un problème EG4», dit-il. «Il s’agit d’un problème à l’échelle de l’industrie.» Au cours d’un appel de zoom et plus tard, dans la boîte de réception de cet éditeur, il produit un catalogage de 14 pages 88 vulnérabilité de l’énergie solaire révèle à travers les applications commerciales et résidentielles sincères 2019.
Tous ses clients – dont certains sont allés à Reddit pour se plaindre – sont sympathiques, en particulier étant donné que le conseil de CISA a révélé des défauts de conception fondamentale: communication entre les applications de surveillance et les onduleurs qui se sont produites dans les mises à jour de la firmware ancienne et les procédures d’authentification rudimentaire.
«Ce sont des tours de sécurité fondamentaux», explique un client de l’entreprise, qui a demandé à parler de manière anonyme. «Ajout de l’insulte à la blessure», continuez cet individu, «Eg4 n’a même pas pris la peine de m’informer ou d’offrir des atténuations suggérées.»
Lorsqu’on lui a demandé pourquoi EG4 n’avait pas alerté les clients immédiatement lorsque CISA a contacté l’entreprise, Showalter l’appelle un moment «live and apprend».
« Parce que nous sommes si proches (pour s’adresser aux officiers de la CISA) et c’est une relation si positive avec la CISA, nous allons pour obtenir le » fait « , puis conseiller les gens, donc nous ne sommes pas au milieu du gâteau cuit », explique Showalter.
TechCrunch a contacté CISA plus tôt cette semaine pour plus d’informations; L’agence n’a pas été respirée. Dans son avis sur EG4, la CISA déclare qu’aucune opération publique connue ciblant spécifiquement ces vulnérabilités n’a été signalée à cette époque. »
Connexions avec les problèmes de sécurité de la Chine Spark
Bien que sans rapport, le moment des relations publiques d’Eg4 se cruncine avec des angoisses plus larges concernant la sécurité de la chaîne d’approvisionnement des équipements d’énergie renouvelable.
Plus tôt cette année, les responsables de l’énergie américaine auraient commencé à évaluer les risques posés par les appareils fabriqués en Chine après avoir découvert des équipements de communication non xlplatés à l’intérieur de certains onduleurs et batteries. Selon une enquête de Reuters, des radios cellulaires non conduites et d’autres dispositifs de communication ont été trouvés dans l’équipement de plusieurs fournisseurs chinois – des composants qui n’étaient pas apparus sur des listes de matériel officielles.
Cette découverte rapportée a un poids particulier étant donné la domination de la Chine dans la fabrication solaire. Cette même histoire de Reuters a dénoncé que Huawei est le grand fournisseur mondial d’onduleurs, anniversaire pour 29% des expéditions dans le monde en 2022, suivie des pairs chinois Sungrow et Ginlong Solis. Quelque 200 GW de capacité d’énergie solaire européenne est liée aux onduleurs fabriqués en Chine, ce qui équivaut à peu près à plus de 200 centrales nucléaires.
Les implications géopolitiques n’ont pas échappé à un préavis. L’année dernière, la Lituanie adopte une loi bloquant l’accès chinois à distance aux installations solaires, éoliennes et batterie supérieures à 100 kilowatts, restreignant efficacement l’utilisation d’onduleurs chinois. Showalter dit que son entreprise répond aux préoccupations des clients en commençant de manière similaire à s’éloigner des fournisseurs chinois et vers des composants fabriqués par des entreprises ailleurs, inclus en Allemagne.
Mais les vulnérabilité que la CISA décrites dans le système d’EG4 soulève des questions qui s’étendent au-delà des pratiques d’une seule entreprise ou où sa composante. L’agence des normes américaines NIST prévient que «si vous contrôlez un remotalie un nombre suffisamment d’onduleurs solaires à domicile et faites quelque chose de néfaste à la fois, cela pourrait avoir des implications catastrophiques à la grille pendant une période prolongée.
La bonne nouvelle (s’il y en a), c’est que bien que théoriquement possible, ce scénario fait face à de nombreuses limitations pratiques.
Pascale, qui travaille avec les installations solaires à l’échelle des services publics, note que les onduleurs résidentiels remplissent les deux fonctions principales: convertir la puissance de la puissance directe au courant alternatif et facilitant la connexion au réseau. Une attaque de masse nécessiterait de compromettre simultanément un grand nombre de maisons individuelles. (De telles attaques ne sont pas impossibles mais sont plus susceptibles d’impliquer le ciblage des fabricants eux-mêmes, dont certains ont un accès à distance aux onduleurs solaires de leurs clients, comme en témoigne les chercheurs en sécurité l’année dernière.)
Le cadre réglementaire qui régit les plus grandes installations de ne pas dépenser actuellement aux systèmes résidentiels. Les normes de protection des infrastructures critiques de la North American Electric Realiabability Corporation ne s’appliquent actuellement qu’aux grandes installations produisant 75 mégawatts ou plus, comme les fermes solaires.
Parce que les installations résidentielles tombent si loin en dessous de la séance, elles opèrent dans une zone grise réglementaire où les normes de cybersécurité restent des suggestions plutôt que des exigences.
Mais le résultat final est que la sécurité de milliers de petites installations dépend en grande partie de la discrétion de fabricants individuels qui opèrent dans un vide réglementaire.
Sur la question de la transmission de données non pressée, par exemple, qui est l’une des raisons pour lesquelles Eg4 a reçu que la gifle sur la main de CISA, Pascale note que dans la réduction de l’utilité opérationnelle, la transmission de texte brut est courante et encourage parfois à des fins de surveillance du réseau.
«Lorsque vous regardez le cryptage dans un environnement d’entreprise, il n’est pas autorisé», explique-t-il. « Mais lorsque vous regardez un environnement opérationnel, la plupart des choses sont transmises en texte brut. »
Autrement dit, la vraie préoccupation n’est pas une menace Immondae pour les propriétaires individuels. Au lieu de cela, il est lié à la vulnérabilité globale d’un réseau en expansion rapide. À mesure que le réseau d’énergie devient de plus en plus distribué, la puissance provenant de millions de petites sources plutôt que des dizaines de grandes, la surface d’attaque se développe de façon exponentielle. Chaque onduleur représente un point de presse potentiel dans un système qui était conçu pour accueillir ce niveau de complexité.
Showalter a adopté l’intervention de CISA comme ce qu’il appelle une «mise à niveau de la confiance» – une opportunité de différencier son entreprise sur un marché bondé. Il dit que depuis juin, EG4 est avec l’agence pour ajouter les vulnérabilités identifiées, réduisant une liste initiale de dix préoccupations à trois éléments restants que la société prévoit de résoudre d’ici octobre. Le processus a consisté à mettre à jour les protocoles de transmission du micrologiciel, à implémenter une vérification d’identité supplémentaire pour les appels de support technique et à refaire le processus d’authentification.
Mais pour ceux comme le client EG4 anonyme qui a parlé avec frustration de la responsabilité de l’entreprise, l’épisode met en évidence la position étrange dans laquelle les adoptants solaires se trouvent. Ils ont acheté ce qui comprenait être une technologie terrien conviviale au climat, seulement pour découvrir qu’ils deviendraient des participants involontaires dans une vitrage de cybersécurité noueux que peu de gens semblent comprendre pleinement.
