La vie privée en question | Un mouchard numérique ? (Partie 5)

Par Doc TB | le 1 avril 2016 | Modifié le 25 mai 2021

Les militants anti-ondes sont parvenus à focaliser l'attention du grand public sur les aspects "santé" en occultant presque totalement les problématiques liées à la vie privée. C'est particulièrement regrettable, car l'exploitation des données recueillies par Linky représente un eldorado pour de nombreuses sociétés commerciales. Dans quelle mesure notre vie privée en souffrira-t-elle ?

Avant toute chose, il convient de connaître la nature exacte des données qui sont transmises à ERDF (et accessibles grâce à la sortie TIC). On y trouve le numéro de série du compteur, la date et l'heure, l'énergie active consommée au total (Wh – l'index de base), la puissance instantanée active (W), réactive (VAR) et apparente (VA) ainsi que les tensions (V) et courant (A) et un registre de statuts. Ce dernier renseigne (entre autres) sur l'état du disjoncteur interne, l'ouverture (ou non) du cache-borne, la présence d'une surtension et le sens de l'énergie active (consommation ou production d'électricité). Par défaut, ces informations seront remontées au centre de traitement d'ERDF une fois par jour, entre minuit et 6 h du matin, par le CPL. Elles pourront également être accessibles aux clients via la sortie TIC (télé-information client) ou le module ERL (émetteur radio Linky), cette fois avec une mise à jour toutes les deux secondes. La récupération de ces données de manière unitaire ne représente pas un grand intérêt. En revanche, l'accumulation d'un grand nombre de relevés permet de construire une "courbe de charge" qui indique précisément l'évolution de votre consommation. Plus les mesures sont nombreuses, plus il présente de l'intérêt. Techniquement, Linky permet la transmission des informations en permanence, mais la CNIL a décidé de limiter la durée minimale entre chaque mesure à 10 minutes. En pratique, la courbe de charge permet de connaître la plupart de vos habitudes, vos heures de lever/coucher par exemple, mais aussi d'en extrapoler bien d'autres : occupation des lieux, nombre de personnes dans le foyer, qualité de l'isolation thermique, etc. Avec une granularité temporelle beaucoup plus élevée, il deviendrait aussi possible de savoir quand vous allumez la TV et même quelle chaîne vous regardez. Ce cas extrême nécessite toutefois une fréquence de relevés de deux fois par seconde, alors que Linky ne remonte au mieux les informations qu'à un rythme beaucoup plus lent.
Big ERDF is watching you.

À qui la charge ?

Reste que votre courbe de charge intéresse tout de même beaucoup de monde : votre fournisseur d'énergie comme EDF, évidemment, qui pourra s'en servir pour proposer de nouvelles offres, mais également d'autres commerçants comme les vendeurs de fenêtres ou de pompes à chaleur. Philippe Monloubou, président du directoire d’ERDF, considère aussi que "les données issues de Linky pourront servir de levier d’innovation pour les start-up". Un ancien responsable du projet Linky chez ERDF imagine même "la modulation des primes d'assurance en fonction des équipements". Une intrusion évidente dans la vie privée des usagers. Pour assurer le respect de celle-ci, l'ADEME et la CNIL ont fixé une règle : ces données sont considérées comme privées et appartiennent au client. Pour les transmettre à quiconque, ERDF devra obligatoirement recueillir son consentement et agira alors comme un "tiers de confiance". A priori, tout semble clair… mais le diable se cache dans les détails. Tout d'abord, nul doute que le fameux "consentement" sera intégré dans le fin fond des petites lignes du contrat. Ensuite, l'arrivée de nouvelles offres financièrement avantageuses pour les clients, basées sur une tarification beaucoup plus précise que le système HP/HC actuel, exigera sans doute la récupération de ces données. Le refus sera alors toujours possible… mais il se traduira par un surcoût. En définitive, l'usager risque de ne pas vraiment avoir le choix. La responsabilité de la protection des données reviendra en pratique à son fournisseur d'énergie et pas à ERDF ; de sérieux garde-fous devront alors être mis en place et régulièrement contrôlés.

L'indic idéal.

Le sujet est suffisamment sensible pour que personne ne l'ait encore abordé publiquement : la remontée automatique d'informations via Linky représente un formidable outil d'investigation pour les services de police et de gendarmerie. Nul besoin désormais de dépenser des fortunes en personnel pour la surveillance d'un suspect : non seulement ERDF peut savoir exactement quand vous étiez chez vous et quand vous n'y étiez pas, mais il peut également renseigner les forces de l'ordre (à 10 minutes près) dès que vous regagnez votre domicile. Ce genre de réquisition exige normalement l'accord d'un juge, mais voilà : depuis l'élargissement très conséquent des pouvoirs de police consécutif à l'état d'urgence, on peut craindre que cette alléchante possibilité ne soit exploitée en masse en échappant à tout contrôle. Et ni l'ADEME, ni la CNIL, ni ERDF ne pourront s'y opposer…

Linky Hacking.

Reste enfin à aborder le problème du piratage éventuel des données. Comme sur les anciens modèles, quiconque ayant un accès physique au compteur peut en extraire facilement les données (grâce à l'interface TIC ou simplement en utilisant les boutons et l'écran LCD). L'accès à distance ouvre toutefois d'autres perspectives dans une optique malveillante. Un cambrioleur pourrait ainsi "scanner" tout un quartier à la recherche de logements inoccupés, mais encore faut-il faire le lien entre le numéro de série du compteur et son propriétaire ; peu probable. Les principaux bénéficiaires d'un éventuel piratage seraient en fait les clients fraudeurs eux-mêmes. Si les mécanismes de sécurité du CPL venaient à être piratés, il serait alors possible de "simuler" un compteur Linky fictif qui remplacerait celui de l'abonné. L'exercice reste toutefois particulièrement compliqué car à la moindre anomalie, ERDF découvrirait vite le pot aux roses.
Le module CPL G3 utilise de plus un chiffrage AES-128 qui n'est pas cassé à ce jour (et risque de ne pas l'être avant longtemps). Seule une faille dans l'implémentation pourrait permettre de le pirater, à moins de parvenir à récupérer tout simplement les clés de chiffrement. Malheureusement pour les pirates, celles-ci sont configurées en dur lors de l'installation du compteur par le technicien et ne sont pas échangées par la suite. Chaque compteur dispose de plus de sa propre clé aléatoire (PSK). La découvrir côté local (en démontant l'appareil par exemple) ne pose pas particulièrement de problème, mais n'aurait aucun intérêt en pratique. En définitive, le seul "piratage" que craint ERDF serait surtout la mise en place par les activistes anti-Linky de petits dispositifs de brouillage. Vu la faiblesse du signal CPL et l'absence de filtres, il s'avère en théorie très facile de polluer suffisamment tout le réseau électrique jusqu'au concentrateur, afin que les compteurs ne puissent plus communiquer entre eux.
Reste enfin un autre type de piratage, bien plus probable et cette fois à grande échelle : celui du centre de traitement des données d'ERDF (ou de l'un des prestataires à qui il fournit les courbes de charges). À l'heure où tous les grands organismes ultra-sécurisés et jusqu'à la NSA subissent des intrusions, personne ne peut décemment affirmer que les serveurs d'ERDF ne souffriront jamais d'une faille de sécurité. Il convient toutefois de ne pas sombrer dans la paranoïa : Google, Facebook ou la moindre application sur smartphone peuvent déjà vous géolocaliser et tout connaître de vos habitudes. En définitive, peu de malfaiteurs s'intéressent à l'heure où vous faites griller vos toasts le matin…

Un optocoupleur associé à deux résistances sont suffisants pour lire les données de la sortie TIC avec un Arduino ou un Raspberry Pi.