| Modifié le le 25 mai 2021
Les militants anti-ondes sont parvenus à focaliser l'attention du grand public sur les aspects "santé" en occultant presque totalement les problématiques liées à la vie privée. C'est particulièrement regrettable, car l'exploitation des données recueillies par Linky représente un eldorado pour de nombreuses sociétés commerciales. Dans quelle mesure notre vie privée en souffrira-t-elle ?
À qui la charge ?
Reste que votre courbe de charge intéresse tout de même beaucoup de monde : votre fournisseur d'énergie comme EDF, évidemment, qui pourra s'en servir pour proposer de nouvelles offres, mais également d'autres commerçants comme les vendeurs de fenêtres ou de pompes à chaleur. Philippe Monloubou, président du directoire d’ERDF, considère aussi que "les données issues de Linky pourront servir de levier d’innovation pour les start-up". Un ancien responsable du projet Linky chez ERDF imagine même "la modulation des primes d'assurance en fonction des équipements". Une intrusion évidente dans la vie privée des usagers. Pour assurer le respect de celle-ci, l'ADEME et la CNIL ont fixé une règle : ces données sont considérées comme privées et appartiennent au client. Pour les transmettre à quiconque, ERDF devra obligatoirement recueillir son consentement et agira alors comme un "tiers de confiance". A priori, tout semble clair… mais le diable se cache dans les détails. Tout d'abord, nul doute que le fameux "consentement" sera intégré dans le fin fond des petites lignes du contrat. Ensuite, l'arrivée de nouvelles offres financièrement avantageuses pour les clients, basées sur une tarification beaucoup plus précise que le système HP/HC actuel, exigera sans doute la récupération de ces données. Le refus sera alors toujours possible… mais il se traduira par un surcoût. En définitive, l'usager risque de ne pas vraiment avoir le choix. La responsabilité de la protection des données reviendra en pratique à son fournisseur d'énergie et pas à ERDF ; de sérieux garde-fous devront alors être mis en place et régulièrement contrôlés.L'indic idéal.
Le sujet est suffisamment sensible pour que personne ne l'ait encore abordé publiquement : la remontée automatique d'informations via Linky représente un formidable outil d'investigation pour les services de police et de gendarmerie. Nul besoin désormais de dépenser des fortunes en personnel pour la surveillance d'un suspect : non seulement ERDF peut savoir exactement quand vous étiez chez vous et quand vous n'y étiez pas, mais il peut également renseigner les forces de l'ordre (à 10 minutes près) dès que vous regagnez votre domicile. Ce genre de réquisition exige normalement l'accord d'un juge, mais voilà : depuis l'élargissement très conséquent des pouvoirs de police consécutif à l'état d'urgence, on peut craindre que cette alléchante possibilité ne soit exploitée en masse en échappant à tout contrôle. Et ni l'ADEME, ni la CNIL, ni ERDF ne pourront s'y opposer…
Linky Hacking.
Reste enfin à aborder le problème du piratage éventuel des données. Comme sur les anciens modèles, quiconque ayant un accès physique au compteur peut en extraire facilement les données (grâce à l'interface TIC ou simplement en utilisant les boutons et l'écran LCD). L'accès à distance ouvre toutefois d'autres perspectives dans une optique malveillante. Un cambrioleur pourrait ainsi "scanner" tout un quartier à la recherche de logements inoccupés, mais encore faut-il faire le lien entre le numéro de série du compteur et son propriétaire ; peu probable. Les principaux bénéficiaires d'un éventuel piratage seraient en fait les clients fraudeurs eux-mêmes. Si les mécanismes de sécurité du CPL venaient à être piratés, il serait alors possible de "simuler" un compteur Linky fictif qui remplacerait celui de l'abonné. L'exercice reste toutefois particulièrement compliqué car à la moindre anomalie, ERDF découvrirait vite le pot aux roses.Le module CPL G3 utilise de plus un chiffrage AES-128 qui n'est pas cassé à ce jour (et risque de ne pas l'être avant longtemps). Seule une faille dans l'implémentation pourrait permettre de le pirater, à moins de parvenir à récupérer tout simplement les clés de chiffrement. Malheureusement pour les pirates, celles-ci sont configurées en dur lors de l'installation du compteur par le technicien et ne sont pas échangées par la suite. Chaque compteur dispose de plus de sa propre clé aléatoire (PSK). La découvrir côté local (en démontant l'appareil par exemple) ne pose pas particulièrement de problème, mais n'aurait aucun intérêt en pratique. En définitive, le seul "piratage" que craint ERDF serait surtout la mise en place par les activistes anti-Linky de petits dispositifs de brouillage. Vu la faiblesse du signal CPL et l'absence de filtres, il s'avère en théorie très facile de polluer suffisamment tout le réseau électrique jusqu'au concentrateur, afin que les compteurs ne puissent plus communiquer entre eux.
Reste enfin un autre type de piratage, bien plus probable et cette fois à grande échelle : celui du centre de traitement des données d'ERDF (ou de l'un des prestataires à qui il fournit les courbes de charges). À l'heure où tous les grands organismes ultra-sécurisés et jusqu'à la NSA subissent des intrusions, personne ne peut décemment affirmer que les serveurs d'ERDF ne souffriront jamais d'une faille de sécurité. Il convient toutefois de ne pas sombrer dans la paranoïa : Google, Facebook ou la moindre application sur smartphone peuvent déjà vous géolocaliser et tout connaître de vos habitudes. En définitive, peu de malfaiteurs s'intéressent à l'heure où vous faites griller vos toasts le matin…