La cuisson et l’ébullition des botnets pourraient entraîner des fluctuations et des dommages sur le marché de l’énergie
4 août 2020
• Atlanta, Géorgie
Des armées maléfiques de chargeurs, de fours, de chauffe-eau, de climatiseurs et d’autres appareils électriques connectés à Internet pourraient être détournées pour manipuler légèrement la demande d’énergie, ce qui pourrait entraîner des fluctuations de prix et créer des dommages financiers sur les marchés de l’énergie déréglementés, prévient un nouveau rapport qui sera présenté le 5 août lors de la conférence Black Hat USA 2020.
En activant ou désactivant l’équipement compromis pour augmenter ou réduire artificiellement la demande d’énergie, les botnets constitués de ces appareils consommateurs d’énergie pourraient aider un fournisseur ou un détaillant d’énergie sans scrupules (service public d’électricité) à modifier les prix pour créer un avantage commercial ou donner à une nation. indiquer un moyen de nuire à distance à l’économie d’un autre pays en causant des dommages financiers à son marché de l’électricité. Si elle est effectuée dans les limites de la variation normale de la demande de puissance, une telle attaque serait difficile à détecter, ont déclaré les chercheurs.
«Si un attaquant peut légèrement influencer les prix du marché de l’électricité en sa faveur, ce serait comme savoir aujourd’hui ce qui va se passer sur le marché boursier de demain», a déclaré Tohid Shekari, assistant de recherche École de génie électrique et informatique au Georgia Institute of Technology. « Si la manipulation reste dans une certaine plage, il serait furtif et difficile de se différencier d’une erreur de prévision de charge typique. »
Considérée comme la première cyberattaque de manipulation du marché de l’énergie proposée, l’opération dépendrait de botnets composés de milliers d’appareils qui pourraient être contrôlés de manière centralisée par des attaquants ayant pris le contrôle de leurs contrôleurs de l’Internet des objets (IoT). Des acteurs malveillants ont déjà démontré des attaques de botnet IoT telles que Mirai, qui utilisait un réseau de caméras et de routeurs connectés à Internet compromis pour lancer des attaques sur une infrastructure Internet clé.
L’attaque, baptisée «IoT Skimmer», serait rendue possible par la déréglementation des marchés de l’énergie, qui a créé un système permettant de fournir efficacement l’énergie électrique. Pour répondre à la demande d’énergie électrique, les entreprises de services publics doivent prévoir la demande future et acheter de l’électricité sur le marché de gros de l’énergie à des prix compétitifs. Si les prévisions s’avèrent fausses, les services publics devront peut-être payer plus ou moins l’énergie dont ils ont besoin pour répondre aux demandes de leurs clients en participant au marché en temps réel, dont les prix sont généralement plus volatils. La création de données de demande erronées pour manipuler les prévisions pourrait être rentable pour les fournisseurs qui vendent de l’énergie pour répondre à la demande inattendue, ou pour les détaillants ou les services publics qui achètent de l’énergie moins chère sur le marché en temps réel.
Les chercheurs n’ont pas été en mesure de déterminer si une telle attaque avait déjà eu lieu car les appareils IoT – au-delà de l’insécurité – ne disposent pas non plus du type de surveillance qui serait nécessaire pour détecter un tel détournement. Mais ils ont utilisé de vrais ensembles de données provenant de deux des plus grands marchés énergétiques américains – New York et la Californie – pour évaluer la faisabilité de l’attaque proposée.
«Nous avons fait de nombreuses simulations et analyses mathématiques pour montrer que ce type de transfert pouvait se produire», a déclaré Raheem Beyah, professeur de la Fondation Motorola à l’École de génie électrique et informatique, qui est également vice-président de la recherche interdisciplinaire de Georgia Tech et cofondateur de la société Fortiphyd Logic. «Nous avons également effectué une analyse de faisabilité des zones d’appui pour montrer que cela serait possible à partir de différentes perspectives.»
Les chercheurs supposent que de tels botnets existent déjà et que les attaquants pourraient simplement louer leur utilisation sur le dark web. Plus de 20 millions de thermostats intelligents existent déjà sur le marché nord-américain, et ils sont connectés à au moins un appareil de haute puissance – un système de chauffage et de climatisation qui pourrait être contrôlé par des attaquants sur une base intermittente.
«Si vous considérez tous les thermostats intelligents et les fours électriques connectés à Internet, les chauffe-eau et les chargeurs de véhicules électriques qui sont déjà utilisés, il y a beaucoup d’appareils à compromettre», a déclaré Shekari. «Les propriétaires ne remarqueraient probablement jamais si le chargeur de VE s’allume lorsque la demande d’électricité est la plus élevée, ou si la climatisation refroidit un peu plus que prévu lorsqu’ils ne sont pas chez eux.»
Pour contrer l’attaque potentielle, les chercheurs suggèrent à la fois des étapes de détection et de prévention. Grâce à la surveillance intégrée de la consommation d’énergie normale des appareils connectés à l’IoT à forte puissance, des pics ou des creux inattendus de consommation d’énergie déclenchés par un attaquant pouvaient être détectés. Et l’accès aux données sur la demande d’énergie attendue – qui sont désormais rendues publiques – pourrait être limité à ceux qui en ont réellement besoin.
Le principal facteur qui rend cette attaque possible est le partage de données détaillées en ligne d’informations sur le marché de l’électricité, qui sont généralement mises à jour toutes les cinq minutes.
«Cette information sur la demande d’énergie est vraiment un problème de confidentialité des données, et nous devons réfléchir longuement et sérieusement à l’équilibre entre transparence et sécurité», a déclaré Beyah. « Il y a toujours une tension là-bas, mais limiter la quantité de détails pourrait rendre plus difficile pour les attaquants qui veulent cacher leurs manipulations de savoir quelles sont les variations normales. »
L’attaque potentielle souligne la nécessité de prendre en compte les menaces de cybersécurité dans des domaines technologiques où elles n’avaient peut-être jamais été possibles auparavant.
«Il s’agit d’une intersection intéressante entre le monde de la sécurité de l’IoT et les marchés de l’énergie», a déclaré Beyah. «À l’heure actuelle, il semble qu’il y ait un grand écart entre les deux mondes. Notre argument est que la combinaison de la technologie IoT et des appareils haute puissance a des implications qui peuvent compromettre les marchés d’une manière que nous n’aurions jamais imaginée auparavant.
La présentation «IoT Skimmer: Energy Market Manipulation Through High-Wattage IoT Botnets» sera présentée le mercredi 5 août à 14h30 dans le cadre de la conférence Black Hat USA 2020.
Actualités de la recherche
Institut de technologie de la Géorgie
177 avenue Nord
Atlanta, Géorgie 30332-0181 États-Unis
Contact relations avec les médias: John Toon (404-894-6986) (jtoon@gatech.edu)
Écrivain: John Toon