Une étude de Forescout révèle que 35 000 systèmes de production d’énergie solaire sont directement exposés à Internet. Entre interfaces non sécurisées, mots de passe par défaut et absence de segmentation réseau, le rêve de l’autonomie énergétique devient un cauchemar pour la cybersécurité OT. Décryptage d’un désastre solaire annoncé.
☀️ Soleil, panneau solaire… et portail HTTP sans mot de passe
L’énergie solaire, c’est beau, c’est vert, ça rend (parfois) autonome…
Mais visiblement, certains ont oublié qu’un onduleur connecté à Internet sans authentification, c’est aussi un tremplin de choix pour les hackers.
C’est ce que révèle le rapport Forescout publié début juin 2025 : environ 35 000 systèmes solaires sont accessibles publiquement via Internet, sans pare-feu, sans tunnel VPN, et souvent… avec les identifiants usine.
🧠 Qui est concerné ?
On parle ici de :
- Contrôleurs photovoltaïques
- Onduleurs intelligents
- Passerelles de communication (RTU, concentrateurs, etc.)
- Interfaces web embarquées dans les systèmes d’énergie
Le tout fourni par des poids lourds de l’industrie :
- Huawei
- SolarEdge
- SMA
- Schneider Electric
- Growatt
- …et quelques dizaines d’autres marques plus ou moins exotiques.
Ces équipements sont déployés :
- Chez des particuliers « geeks du solaire »
- Dans des PME agricoles
- Et surtout dans des installations industrielles ou collectivités territoriales, avec supervision à distance via Wi-Fi, 4G ou fibre.
🔥 Quels sont les risques réels ?
Voici ce que permet un accès non filtré à un onduleur exposé :
- Coupure de la production électrique (et donc perte directe de revenus ou arrêt d’installation).
- Injection de surtension ou d’instructions dangereuses (au mieux, ça éteint tout ; au pire, ça grille l’équipement ou met le feu).
- Pivot vers les réseaux internes OT (si pas de segmentation VLAN ou DMZ).
- Ajout à un botnet IoT pour des attaques DDoS massives (comme Mirai, mais version solaire).
- Sabotage géopolitique : imaginez 10 000 fermes solaires européennes qui tombent en même temps…
🧪 Et niveau technique, c’est comment ?
- Protocoles exposés : HTTP, HTTPS, Telnet, Modbus, FTP, SNMP (oui, tout ça parfois en même temps).
- Ports ouverts : 80, 443, 502, 8080, 20000-30000
- Authentification : optionnelle voire inexistante
- MAJ firmware : rare, non automatisée, et non vérifiée côté client
- Requêtes trouvées sur Shodan :
title:"Solar" port:80 country:"DE",device:"SMA WebBox", etc.
La surface d’attaque est gigantesque, et l’exploitabilité… presque enfantine.
🛡️ Comment éviter l’éclipse sécuritaire
Pour les exploitants :
- Bloquez immédiatement l’accès Internet direct à vos équipements solaires.
- Activez le VPN du fournisseur ou passez par un bastion d’accès distant sécurisé.
- Changez les identifiants par défaut (admin/admin, c’est fini).
- Désactivez les interfaces inutiles (Telnet, SNMP public, etc.).
- Segmentez vos réseaux OT / IoT (pas de brèche entre onduleur et SI industriel !).
Pour les collectivités, industriels, intégrateurs :
- Faites un scan de votre IP publique avec Shodan/Censys.
- Mettez en place une politique de durcissement des équipements d’énergie.
- Prévoyez des audits réguliers des infrastructures solaires connectées.
- Exigez des fournisseurs un support sécurité clair, des patchs réguliers, et une documentation digne de ce nom.
🎙️ Conclusion SecuSlice : exposer un panneau solaire, c’est bien. Exposer son interface admin, c’est débile.
On ne le répétera jamais assez : ce n’est pas parce que c’est “green” que c’est “secure”.
Dans un monde où les infrastructures énergétiques sont des cibles de choix, le moindre onduleur exposé devient un cheval de Troie.
Si on ne veut pas que le solaire devienne l’ombre d’un désastre industriel, il est temps de faire rentrer la cybersécurité dans le cahier des charges énergétique.
