Les chercheurs en cybersécurité ont identifié un certain nombre de failles de sécurité dans les plateformes de gestion de systèmes photovoltaïques exploitées par les sociétés chinoises Solarman et Deye qui pourraient permettre à des acteurs malveillants de provoquer des perturbations et des pannes de courant.
« Si elles sont exploitées, ces vulnérabilités pourraient permettre à un attaquant de contrôler les paramètres de l’onduleur, ce qui pourrait entraîner la panne de certaines parties du réseau, provoquant potentiellement des pannes de courant », ont déclaré les chercheurs de Bitdefender. dit dans une analyse publiée la semaine dernière.
Les vulnérabilités ont été corrigées par Solarman et Deye en juillet 2024, suite à une divulgation responsable le 22 mai 2024.
Le fournisseur roumain de cybersécurité, qui a analysé les deux plateformes de surveillance et de gestion PV, a déclaré qu’elles souffraient d’un certain nombre de problèmes qui, entre autres, pourraient entraîner une prise de contrôle de compte et une divulgation d’informations.
Une brève description des problèmes est répertoriée ci-dessous –
- Prise de contrôle complète du compte via la manipulation du jeton d’autorisation à l’aide du point de terminaison de l’API /oauth2-s/oauth/token
- Réutilisation du jeton Deye Cloud
- Fuite d’informations via le point de terminaison de l’API /group-s/acc/orgs
- Compte codé en dur avec accès illimité aux appareils (compte : « [email protected] » / mot de passe : 123456)
- Fuite d’informations via le point de terminaison de l’API /user-s/acc/orgs
- Génération potentielle de jetons d’autorisation non autorisés
L’exploitation réussie des vulnérabilités susmentionnées pourrait permettre aux attaquants de prendre le contrôle de n’importe quel compte Solarman, de réutiliser les jetons Web JSON (JWT) de Deye Cloud pour obtenir un accès non autorisé aux comptes Solarman et de collecter des informations privées sur toutes les organisations enregistrées.
Ils pourraient également obtenir des informations sur n’importe quel appareil Deye, accéder aux données confidentielles des utilisateurs enregistrés et même générer des jetons d’authentification pour n’importe quel utilisateur de la plateforme, compromettant ainsi gravement sa confidentialité et son intégrité.
« Les attaquants peuvent prendre le contrôle des comptes et des onduleurs solaires, perturbant ainsi la production d’électricité et provoquant potentiellement des fluctuations de tension », ont déclaré les chercheurs.
« Des informations sensibles sur les utilisateurs et les organisations peuvent être divulguées, ce qui peut entraîner des violations de la vie privée, la collecte d’informations, des attaques de phishing ciblées ou d’autres activités malveillantes. En accédant aux paramètres des onduleurs solaires et en les modifiant, les attaquants peuvent provoquer des perturbations généralisées de la distribution d’électricité, ce qui a un impact sur la stabilité du réseau et peut entraîner des pannes de courant. »