 Aujourd'hui, on a quelqu'un qui va pouvoir en parler en long à l'argent en travers. Nathaniel Rubin. Il faut le connaitre peut-être, à partir de ses présentations sur comment tracher Pearl. La communauté Pearl l'aime beaucoup pour ça. Récemment, il a aussi fondé l'entreprise Voltron. Et donc, sans plus attendre, je voudrais que vous m'aider à accueillir pour parler de ces smart cities. Monsieur Nathaniel Rubin. Bonjour le CCC. C'est génial d'être ici. Je voudrais commencer par m'excuser. Je me sens un petit peu malade aujourd'hui si je me mets à tousser ou à mourir sans prévenir. Merci de m'excuser. Et aujourd'hui, on va parler de quelque chose qui ne marche pas pour vous. On va parler de l'industrie du smart. Alors, simplement ce qu'on va faire aujourd'hui, ce qu'on va parler de cette révolution du smart et de comment ça change nos vies sans qu'on le sache. Disclamer, moi et mon entreprise, Voltron, on développe des solutions de sécurité pour cette industrie du smart. Donc parlons des smart cities. Ou de villes intelligentes. Smart cities, les villes intelligentes, il y en a de plus en plus. Amsterdam, Singapour, Barcelone, plein de villes autour du monde. Mais alors, qu'est-ce que c'est que ces villes intelligentes ? Alors, à Amsterdam, ils ont décidé qu'être une ville intelligente, ça voulait dire qu'il fallait avoir des nichoires pour oiseaux qui offraient du wifi. À Kansas City, ils ont décidé d'avoir une approche un peu plus américaine et d'avoir des détecteurs de coups de fusil. Alors, ce qui est clair à tout le monde dans cette industrie, c'est que le terme smart city ne veut pas dire grand chose, c'est juste un concept. Et du coup, ça ne veut dire absolument rien du tout. Parce que chaque ville a ses propres idées qui sont adaptées à sa culture, à son atmosphère. Et donc pour nous, pour comprendre cette industrie et pour comprendre qui en bénéficie et de tous les investissements sur cette technologie, il faut qu'on regarde un marché en particulier, le marché de l'énergie intelligente, la smart energy. Et ça, c'est un concept qui a pour principe de connecter mieux les fournisseurs d'énergie, les consommateurs et les villes. Ça a l'air un petit peu compliqué, mais en vrai, c'est très simple. Alors, les fournisseurs d'électricité ont gagné énormément de cette révolution du smart. En utilisant l'énergie intelligente, ils ont pu créer des nouveaux équipements qui permettent de définir des tarifs différents à différentes heures. Ils peuvent connecter et déconnecter des clients à distance. Si, par exemple, ils n'ont pas payé leurs factures, ou s'ils n'ont pas plus de crédit sur leur compte prépayé pour l'électricité. Ils peuvent aussi recevoir les données sur la consommation par leurs utilisateurs instantanément, sans avoir envoyé des gens pour relever les compteurs. Donc, globalement, ce que ça veut dire, c'est que ces fournisseurs ont gagné la possibilité de mieux gérer leur réseau de distribution d'électricité, leur grille électrique. Donc, c'est clair que ces entreprises de fournisseurs d'électricité ont énormément gagné de cette révolution du smart. Alors, quand on parle de ça, on parle souvent du terme de smart grid, le réseau de distribution d'électricité intelligent. Ça contient tous les systèmes de génération d'électricité et tout ce qui en consomme. Et la clé, c'est le smart meter, le compteur intelligent. Alors, la première chose qui ça fait, c'est que ça permet aux fournisseurs d'électricité de communiquer avec le compteur à distance. La deuxième chose, et c'est ça qui rend vraiment le compteur intelligent, c'est que ce compteur peut communiquer avec vos équipements, les équipements que vous avez dans votre maison. Et là, vous demandez peut-être, attendez, ce compteur peut contrôler l'électroménager dans ma maison. Alors, non seulement il peut, mais le fait que ce compteur puisse communiquer avec l'électroménager, c'est juste la première étape. L'étape suivante, c'est que ces compteurs vont créer un réseau mèche, un réseau point à point dans toute la ville qui permettra de communiquer avec l'électroménager des autres également. Donc, ces compteurs pour contrôler votre maison, votre ville, c'est-à-dire que tout ça, votre maison, votre ville, sont contrôlés par le fournisseur d'électricité. Alors, comment est-ce que ces compteurs et comment est-ce que les fournisseurs d'électricité communiquent avec la ville et avec votre électroménager? Un seul mot. Ce mot, c'est zig. Alors, vous savez peut-être, la plupart des gens ici savent déjà que ZigBee est un protocole très très peu sécurisé. Et si vous pensez que ZigBee n'est pas sécurisé dans des villes, dans des maisons intelligentes normales, attendez de voir à quel point c'est pas sécurisé dans l'industrie smart en général. Alors, aujourd'hui, on a à peu près 60 fabricants de compteurs intelligents, mais le top 3 qui compte à peu près à 60% du marché, c'est Hightron, Landis Gear et Elster. Rappelez-vous de ces noms, ils vont ressortir assez vite. Alors, maintenant, ce que vous devez comprendre, c'est que les compteurs intelligents, ils offrent énormément davantage pour les fournisseurs d'électricité. Ils ont tellement gagné en installant ces compteurs que maintenant, ils forcent les gens à installer des compteurs intelligents dans énormément de cas, même si ça leur coûte des milliards de dollars de les faire installer. Mais il n'y a pas que les fournisseurs d'électricité qui essaient de faire installer ça. Les gouvernements tout autour du monde essaient de pousser ça, de le pousser encore plus loin. On peut voir une augmentation de la régulation positive, que ce soit en Australie, au Japon, aux États-Unis, mais la région la plus importante pour cette industrie, celle avec les lois les plus progressives et avec les buts les plus progressifs, c'est l'Europe. L'Union européenne a dit qu'ils veulent remplacer au moins 80% de leurs compteurs avec des compteurs intelligents d'ici 2020, c'est dans trois ans. Avec un investissement total d'à peu près 45 milliards d'euros pour que 72% des consommateurs aient accès à de l'électricité intelligente. C'est une poussée qui est extrême par les gouvernements, par les fournisseurs d'électricité pour avoir plus de 100, et grâce à cette poussée, on a déjà plus de 100 millions de compteurs intelligents tout autour du monde. Et si vous pensez que cette installation ne vous concerne pas vous, vous devriez réfléchir encore. Parce que voilà les pays qui vont remplacer au moins 90% de leurs compteurs d'ici 2020. Autriche, Danemark, Estonie, Finlande, France, Grèce, Irlande, Italie, Luxembourg, Malte, Pays-Bas, Poland, Romanie, Espagne, Suède, Royaume-Uni. Tous ces pays-là vont être extrêmement actifs dans cette révolution technologique massive. Alors qu'est-ce que c'est le problème là-dedans ? Le progrès, c'est toujours bien, n'est-ce pas ? Les problèmes commencent quand les gouvernements, ou plutôt quand les agences gouvernementales commencent à obliger à l'installation de systèmes qui peuvent interférer et communiquer avec votre électroménager. Le problème commence quand il y a un marché tellement énorme que c'est installé dans des millions de villes autour du monde. Et le problème commence quand ces équipements ont à la fois accès au réseau, du fonds de l'électricité, et à votre réseau, à vous. L'installation de ces points d'accès dans vos réseaux personnels est extrêmement dangereuse. Alors pourquoi est-ce que les compteurs intelligents, c'est si critique ? Comme une chose, on peut voir exactement quand est-ce qu'on vient d'électricité en chaine, on peut savoir quand est-ce que vous êtes chez vous, quand vous avez beaucoup d'équipements électroniques chers. On peut savoir beaucoup d'informations sur vous et votre famille. La deuxième chose, c'est qu'on peut faire de la fraude. On peut savoir combien d'électricité on a, on peut s'y demander autre chose, un autre montant. On peut savoir combien vous avez déplancé. Si vous n'êtes pas attrapés à temps, bien sûr. Mais ces scénarios ne sont pas si effrayants. Bien sûr, les attaqueurs peuvent vous faire payer beaucoup d'argent. Mais est-ce que ça peut être aussi dangereux que si on sait quand on allume la télé ? Ce qui est effrayant, c'est le pouvoir qu'on peut avoir sur ça. Si il peut hacker votre compteur, il peut hacker aussi tous les autres équipements électroménagers. Le frigo, la porte, la porte, vraiment tout. Tous les divises dans votre maison. Et ça pourrait avoir des conséquences très graves. Plus la maison est connectée et plus il y a de l'impact. Imaginez, vous vous levez le matin et vous vous rendez compte que vous avez été volé par quelqu'un qui n'avait même pas accès à votre maison directement mais juste à votre appareil. Mais même si votre maison n'a pas d'appareil équipant et intelligent, ce n'est pas que ça. Ils sont aussi ici à un endroit très critique parce qu'ils ont énormément de voltage qu'ils gèrent et quelques lignes de code peuvent donner beaucoup beaucoup de dégâts. Le compteur est contrôlé aussi, donc on peut aussi contrôler le logiciel derrière. On peut le faire exploser directement et commencer un feu. Donc ce n'est pas que ça. Ce n'est pas que des scénarios imaginaires. Le poirteur Echo par exemple a eu beaucoup de problèmes ici et ils ont perdu des millions, des millions de dollars. Dans la province canadienne Ontario, il y avait des smart meters qui ont pris feu et ont explosé et on ne sait pas encore la cause de cette malfunction. Votre maison est faite de bois et il n'y a pas d'embriques. Vous ne serez pas vivants. Nous voyons là une maison affectée par une telle explosion. Passons aux techniques. Comment on va avec une smart meter ? Le public applaudisse. Premièrement, il y a l'attaque physique. Bien sûr, il faut avoir l'accès physique pour le faire de toute façon. Ça, c'est très facile à détecter. Il y a un millier de différentes façons de protéger les smart meters des attaques physiques. Donc ça ne va pas marcher tellement je vais essayer. Malheureusement, il y a aussi l'accès sans fil. Donc à travers le protocole ZigBee et avec le standard JSM, c'est utilisé partout dans l'industrie. En fait, c'est tout en noir sans aucune sécurité. C'est donc très facile d'exploiter des vulnérabilités. Ça permet d'exploiter des bagues dans la mémoire. Comment communique le smart meter ? Pour communiquer avec le fournisseur d'électricité, il utilise le réseau JSM. Parfois, il passe à travers la boîte plus proche. Jusque là, il n'y a rien pour priétaire, il n'y a que des réseaux 3G. Mais qu'est-ce qui se passe à la maison directement ? Avec quoi en communique ? C'est ici que le ZigBee est le plus utilisé. L'énergie Smart avec ZigBee a été demandé à être utilisé le plus possible. Alors on utilise JSM et on utilise ZigBee pour contrôler la maison. C'est ce qui a été demandé. Alors pourquoi nous, on ne devrait pas utiliser JSM si les autres le font ? Alors parlons d'encryption. Qu'est-ce qui empêche les attaqueurs d'utiliser du JSM pour le contrôler ? Rien. De la plupart, n'utilise pas d'encryption du tout. Ni de standard dans leur raconteur. On en a même déjà parlé, il y a 5 ans, ici au CCC. Et pourtant, les utilisés n'ont pas eu le message et n'ont rien changé et n'ont pas utilisé d'encryption. Alors notre securité, non, utilise de l'encryption. Alors qu'est-ce qu'ils utilisent du coup ? La plupart des compteurs intelligents ne supportent que le A5 GPRS, l'algorithme A5 GPRS, pour communiquer. Et il est connu depuis des années pour être complètement cassé. Mais pourtant, il est un petit peu sécurisé. Mais la plupart des attaqueurs utilisent du brute force pour les hacker. Mais par rapport à hijack, qu'est-ce qu'ils utilisent comme authentification ? Et le force, le maître, à utiliser celui-là pour partager l'information. Alors le compteur intelligent va connecter au compteur et il va utiliser directement les informations d'authentification pour communiquer avec. Et ils vont complètement avoir accès au compteur. Mais c'est qu'un seul compteur au final. Alors pourquoi est-ce que les attaqueurs ne pourraient pas le faire à tous les compteurs en même temps ? Alors en fait, ils peuvent. Mais ils n'ont même pas besoin de le faire. Parce que tous les compteurs utilisent les mêmes authentifications. Le même mot de passe. Si un attaqueur a accès à un compteur intelligent, au final il a accès à tous. Une seule clé pour tous les contrôler. Ce qui est triste, c'est que tout ce fiasco de sécurité aurait pu être évité. Si ils utilisaient de la bonne encryption et les attaqueurs n'auraient pas été capables d'utiliser ça. Si leur réseau était segmenté au lieu du temps d'utiliser qu'un seul, ils n'auraient pas accès à tous les compteurs. Si ils avaient du monitoring sur leur système, ils pourraient surveiller et savoir ce qu'il se passe. Alors actuellement, les compteurs intelligents sont complètement exposés aux attaques. Et c'est comme ça qu'on attaque les compteurs. Si un attaqueur ne veut pas utiliser GSM, si il veut prendre contrôle de votre maison, c'est donc pour ça qu'on va parler de ZigBee. ZigBee, c'est un protocole utilisé dans la maison par tous vos appareils intelligents. Ce protocole a été standardisé en 2003. Une année pendant laquelle la sécurité informatique a aussi poussé à élire Donald Trump. C'est un protocole qui a été conçu pour contrôler des choses aussi diverses que des ampoules ou des climatiseurs industriels. C'est un protocole qui peut supporter des centaines de périphériques électroménagés. Et donc l'idée est que de périphériques qui servent la même fonctionnalité comme par exemple de grippe, implémentes le protocole et toutes les fonctionnalités de façon complètement différente. Et à cause de toute cette divergence, le protocole ZigBee a 15 diffrents différentes sous-versions. Par exemple pour les maisons intelligentes, pour le médical, pour l'énergie intelligente, etc. Donc on est dans une situation où un protocole qui est imposé par la loi apporte une complexité incroyable. C'est tellement difficile de l'implementer que les sociétés qui doivent l'implementer choisissent quelle partie ils vont implémenter. Et la chose qui est un peu triste, c'est que dans la plupart des cas ils font l'impasse sur des gros morceaux de la sécurité du protocole. Alors comment est-ce qu'on peut attaquer ZigBee ? Il y a trois parties. La première, c'est des mauvais choix de design dans le protocole. En deuxième, il y a des bugs d'implementation. Comment est-ce qu'on peut attaquer ZigBee ? Il y a trois parties. La première, c'est des mauvais choix de design dans le protocole. En deuxième, il y a des bugs d'implementation. Comment est-ce que le protocole a été implémenté dans le farm ? Et en troisième, la gestion. Quels erreurs sont faites par les fonctions d'électricité dans la gestion de leur compteur ? Alors comment est-ce qu'on attaque le design, la conception ? Imaginons qu'on est un compteur qui veut rejoindre un périphérique qui veut rejoindre le réseau de la maison. Il doit d'abord demander la permission. De cette façon, seulement des périphériques qui ont été approuvés peuvent rejoindre le réseau. C'est logique et c'est très important, puisque le réseau domestique, le réseau de la maison, partage une clé unique. C'est-à-dire que si un attaquant peut obtenir cette clé, il pourra accéder ou se faire passer pour n'importe lequel des périphériques. Il pourra se faire passer pour le hub de la maison et envoyer des commandes à tous les autres périphériques de la maison. Donc cette clé est une chose extrêmement importante. C'est pour ça que les réseaux intelligents avec ZigBee utilisent, j'ai raté la taille de la clé. Mais bon, mes emails sont chiffrés avec beaucoup plus que ça. Bon, alors un attaquant aurait peut-être moyen de voler cette clé en écoutant le réseau au moment exact ou à un périphérique qui a ajouté. Ça, c'est parce qu'une fois qu'un périphérique s'est ajouté au réseau, le hub, le concentrateur lui renvoie la clé du réseau. Alors, dans le contexte des compteurs intelligents, ils sont très différents des hubs intelligents. La façon dont ça marche, c'est que quand un nouveau périphérique essaye de rejoindre le réseau, le compteur se pose pas la question de ce qu'il devrait ou pas et il se contente de répondre. Ah oui, oui, pas problème. Tiens, voilà la clé. Donc, ce que ça veut dire, c'est que si on peut se faire passer pour un nouveau périphérique intelligent, on sera ajouté automatiquement au réseau domestique et ça nous donnera automatiquement accès à la clé du réseau. Avec cette clé, on peut se faire passer pour le compteur les mêmes. On peut contrôler n'importe quel périphérique dans la maison. Par exemple, on peut attaquer le contrôle du réseau électrique et causer des consircuits. L'autre chose qu'on peut faire, c'est communiquer avec le compteur lui-même. En faisant ça, on se donne une surface d'attaque très importante. Tout le mécanisme de gestion du protocole, c'est Gibi. C'est pas une faille en soi, mais ça l'est avec les bugs d'implémentation. Maintenant, à peu près tous les compteurs intelligents tournent sur l'implémentation propriétaire qui tourne sur du arme. Ce sont des périphériques qui ont très peu de CPU et très peu de mémoire. À cause de ça, les développeurs des stacks Gibi essaient de minimiser le code et la consommation de ressources. Et une façon de faire ça, c'est de minimiser les vérifications de sécurité comme, par exemple, vérifier la taille d'un buffer. Alors, attaquer une vulnérabilité de type buffer overflow via ZigBee, ça semble un petit peu difficile. Mais on n'a peut-être pas besoin de faire ça pour attaquer le compteur. Une simple segmentation fault, un simple crash, peut cracher tout le compteur. Et si vous faites ça, on peut continuer le courant dans toute la maison. Et en plus de ça, certains des compteurs peuvent faire ça. Si vous voulez brûler la maison de quelqu'un, vous avez uniquement besoin d'envoyer un aider un petit peu long. Alors, on va parler d'autres choses que de la corruption de la mémoire ou des compteurs qui explosent. Une autre faille, c'est que dans ces compteurs intelligents et donc beaucoup d'autres périphériques, il y a des compteurs qui sont hard-coded. En général, il y a au moins un port pour que les techniciens puissent se connecter et débugger le système. Bien sûr, ils utilisent quasiment toujours les mêmes clés ou les mêmes mots de passe sur tous les périphériques. On a vu sur un compteur de chez Lytron, le nom d'utilisateur était root et le mot de passe était Lytron. Le nom de la boîte qui fabriquait ce compteur. C'est-à-dire qu'ils n'ont même pas essayé de sécuriser quoi que ce soit. Un autre problème d'implémentation, le chiffrement. Comme on a vu, tous les fournisseurs généralement utilisent une seule clé à gprs. Mais qu'est-ce qu'on peut dire sur ZigBee ? Si c'était impossible de se faire passer pour un nouveau périphérique et de récupérer la clé comme ça, est-ce que ce serait toujours possible de casser le chiffrement ? Oui, parce que vous ne le croirez pas. La clé AES du réseau domestique, qui devrait faire 128 bits, n'est pas vraiment de 128 bits aléatoires. En fait, la clé est dérivée du code d'installation de chaque compteur qui peut avoir jusqu'à 16 octets. Mais généralement, on n'en a que 6. C'est-à-dire que dans ce cas-là, la taille maximum d'une clé 128 et effectivement 128, mais dans la plupart des cas, il n'y a que 6 octets, c'est-à-dire 48 bits d'entrepi. Et ça, c'est exactement ce qui se passe quand vous laissez des fabricants d'équipements décider pour eux-mêmes quel morceau du protocold doit être implémenté. Généralement, la première chose qu'ils vont négliger, c'est la sécurité. Et ça, ça nous amène directement à la troisième partie, la mauvaise gestion de ces compteurs. Ces compteurs sont déjà déployés à très grande échelle. Ces problèmes de sécurité ne vont pas juste disparaître. Au contraire, on va voir une augmentation énorme des attaques sur les smartmeters, parce que c'est une cible tellement facile, mais la plupart des fournisseurs délécrissés ne font même pas l'effort de surveiller ce qui se passe sur leur réseau. Ces fournisseurs délécrissés doivent comprendre qu'un grand pouvoir implique de grandes responsabilités pour les infrastructures, pour les villes dans lesquelles elles opèrent, pour leurs clients, pour vous. Alors, tout comme ils surveillent ce qui se passe sur leur réseau privé, ils doivent se réveiller et surveiller celui-là aussi. Alors, c'est pour ça que nous, en tant que communauté, on doit agir rapidement. C'est pour ça que nous, chez Voltron, on va sortir dans les semaines qui viennent notre propre foseur de compteur intelligent. Avec ça, vous pourrez vous légalement mesurer les vulnérabilités de votre compteur. Vous serez en charge et vous aurez l'option de trouver les vulnérabilités dans vos compteurs. A vous, vous pourrez communiquer avec vos élus, vous pourrez organiser des débats, vous informer le public des dangers de ces équipements. Nous vous donnons les équipements et les outils nécessaires pour pouvoir reprendre le contrôle de votre maison. Parce que sinon, quelqu'un d'autre le fera. Merci beaucoup. Moi, ça me fait peur. Alors, on a plein de temps pour les questions. On a, je crois qu'on a eu 8 micros ici. Donc, on s'en devrait aller. Si vous pourriez aller faire la queue derrière la micro, faites attention, on ne prend que des questions. Je vais commencer ici. Alors, oui. Alors, il y a beaucoup de bons points ici. J'ai fabriqué des compteurs pour 5 ans. Et j'en ai fait aussi en Hollande. Comme je me suis occupé de la sécurité, justement, dans ces gris d'électricité. Et je voudrais dire que faire exploser des compteurs avec un logiciel n'est juste pas possible, en fait. Ils n'ont pas de matériel qui peut exploser. C'est aussi simple que ça. Donc n'ayez pas peur que votre compteur va exploser. Ça ne se passera pas. Si je ne me trompe pas, le gouvernement ne dirait pas ça. Parce que ça s'est déjà passé dans leur rapport officiel. Juste après les explosions, ils en ont parlé. Et ils n'ont pas vraiment compris comment ça a explosé. Ils ont dit la même chose. Ça ne peut pas exploser. Parce qu'il n'y a pas de matériel qui peut exploser. Mais après ça, ils se sont rendu compte que si une seule électricité avait un problème d'électricité, alors ça pourrait faire que le compteur ne fasse pas ce qu'il faut avec le voltage qui passe à travers. Et c'est là, en fait, que ça exploserait à cause de trop de voltage. Ce n'est pas brûlé. C'est juste le voltage trop élevé. Donc c'est possible, au final. C'est possible. C'est possible. Mais on verra. J'en ai vu beaucoup qui explosent. Mais je n'ai jamais vu ça par rapport à du logiciel. C'était toujours quelqu'un qui avait oublié de fermer une vis. Oui, c'est ça que je dis. Alors, l'autre micro. Oui. Alors, ma question, est-ce que c'est possible d'attaquer les vendeurs directement ? De ces compteurs électriques qui utilisent IGBI. Alors, les vendeurs ne sont pas vraiment la cible parce qu'ils ne utilisent pas vraiment les compteurs intelligents. C'est plutôt les fournisseurs qui sont la cible. C'est pour ça que les vendeurs s'en fichent un peu parce qu'ils ne sont pas vraiment infectés. Alors, on peut directement les hacker grâce à ces compteurs. Mais les vendeurs ne sont pas vraiment dans l'histoire. Numéro 2. Alors, je travaille dans une entreprise qui fait ça et le problème c'est que personne n'est vraiment motivé pour les rendre sécurisés même quand les développeurs disent que c'est cassé. On va quand même les envoyer parce qu'on doit le faire. Mais au final, c'est pas vraiment la faute des ingénieurs qui envoient ce genre de problèmes. C'est une bonne question. Je pense que tous les ingénieurs arrivent à un point où on leur dit qu'ils ont cette question-là et doivent faire ça. Au final, c'est une décision du management. Les ingénieurs ne peuvent pas passer trop tente sur la sécurité si on leur demande pas de le faire. Donc, le problème devrait être réglé en haut en fait. Le management dans ce cas-là n'est pas directement presse d'ingénieurs. En tout cas, c'est ce que je pense. Internet, une question sur Internet. Est-ce que il y a d'autres méthodes pour trouver ça ? Si ils sont connectés à Internet, alors oui. La plupart du temps, ils ont leur propre réseau. Donc, ils ne sont pas vraiment connectés à Internet. Donc, on ne peut pas les prendre sur Internet. Si vous en trouvez un qui est connecté à Internet, on va tout de suite. Merci pour le talk. Alors, je voudrais vous demander par rapport à un autre talk que vous avez fait sur la surveillance massive. Qu'est-ce que vous en pensez ? C'est que ce sont que des problèmes de mauvaise conception. Est-ce que vous pensez que on regarde ça et toutes ces questions de mauvais design. On est des personnes qui font de la sécurité, donc pour nous, c'est pas bien. Le gouvernement, c'est parfait pour eux. Il veut savoir ce que vous faites. Il veut savoir quand vous utilisez vos appareils. Il veut pouvoir prévoir ce que vous allez utiliser. C'est évident pourquoi l'industrie est comme ça et devient plus en plus grosse. C'est parce que le gouvernement veut contrôler. Je ne sais pas si c'est de la surveillance, mais comprendre les gens, c'est vraiment ça qu'ils veulent. Alors, numéro 1. Je vais vous demander si c'était centralisé et qu'il y avait du management qui était centralisé quelque part. On a vu que parce qu'il y a ces implementations qui sont mauvaise, une partie de l'ondemain était en ligne parce qu'ils ont éteint tous les compteurs intelligents et personne n'a pu savoir qui c'était. Ce serait malgré pour un pays entier. Parce que, oui, ils ont des mises à jour sur leur logiciel. Mais le matériel lui-même ne va pas changer. Les compteurs, la vie d'un compteur est à peu près de 25 ans en général. Alors, même si on fait ce qu'on peut avec les logiciels et les mises à jour et l'encryption, l'appareil en lui-même va pouvoir supporter jusqu'à un certain niveau. Et puis, si les mises à jour marchent vraiment notre question d'Internet, pourquoi pourquoi est-ce qu'on déploie des smart metteurs à l'échelle de la maison ? Pourquoi est-ce que ce serait pas suffisant de les déployer à l'échelle de la rue ou du bloc ? On pourrait faire ça si c'était les villes qui poussaient pour ça. Ils veulent contrôler la consommation à l'échelle de la maison. Donc avoir des compteurs à l'échelle de la rue, ça serait bien pour les villes, mais pour les fournisseurs d'électricité. Ils veulent avoir un compteur pour chaque maison, pour chaque consommateur. Micro23. En Allemagne, on a cette situation où les compteurs intelligents deviennent de plus en plus obligatoires depuis plusieurs années. En tout cas, c'est mon avis. Ils ont aussi des certifications et je trouve que ça c'est une bonne chose. Beaucoup de choses sont open source. On en a vu au CCC, c'est pareil. Mais c'est pas si bien que ça. Alors je voudrais savoir quel est le statut de la communauté. Est-ce que ça devient de plus en plus obligatoire ? Est-ce qu'il y a des plans pour certifier ces choses-là avant qu'ils puissent être mis en ligne d'utiliser dans le vrai monde ? En Allemagne, les certifications sont en ligne, mais elles ne sont pas... Il y en a qu'on peut lire. Les standards en Allemagne sont utilisés comme... La sécurité est une recommandation, mais pas forcément obligatoire. Et en Europe, aux États-Unis, partout, ils recommandent d'utiliser de la sécurité. Mais c'est pas obligatoire. Et quand on recommande quelque chose à ces grosses entreprises, elles ne vont pas vraiment le faire. Alors... J'espère que cette conférence va vraiment aider à faire du changement. Je veux vraiment que ce soit standard. Je veux que les standards changent. Je veux que tout ça change. Et ça se passera uniquement si nous, la communauté, nous agissons ensemble pour que ça se passe. Autre micro. Bonjour. Alors... Je crois que j'ai compris que l'Europe veut faire ça partout. Alors on va devoir... Est-ce qu'on va sûrement être un bon exemple et tout ça va se passer dans toutes les administrations partout. Et... J'imagine que l'administration va se rendre compte que les ordinateurs marcheront plus qu'il y aura plus d'énergie. Alors, je ne supporte pas des activités illégales pour ce protocole. Mais je pense que quelque chose doit être changé. Et je pense qu'on doit faire quelque chose pour que ces entreprises changent. Comment on va le faire ? Alors ça, c'est vous qui décidez. Vous êtes allemand. Moi, je ne le suis pas. Mais je ne sais pas si faire des menaces va vraiment... va vraiment marcher dans ce débat. Mais il faut faire quelque chose en tout cas. Je ne vais pas faire de recommandation, mais je pense qu'il faut faire quelque chose. Est-ce que vous avez regardé les données les différentes balances entre par exemple les centres commerciaux et les maisons et est-ce qu'il y a des différences entre leurs compteurs ? La question est de contrôler ces appareils intelligents aura des bénéfices pour aider avec les énergies renouvelables. Alors oui, bien sûr. Oui, bien sûr, ça aide les consommateurs à générer l'énergie eux-mêmes et peuvent l'envoyer à d'autres entreprises avec par exemple des panneaux solaires. Il y a beaucoup de raisons pour lesquels ils sont aussi populaires, bien sûr. Pourquoi est-ce qu'ils sont aussi régulés ? J'ai une autre question à propos de l'année 1907 je crois parce que ils ont été installés depuis 25 ans si vous pouviez faire un résumé de toute cette année et les 25 ans où tout ça s'est passé est-ce que le problème a été pris en compte ? Est-ce qu'il y a des problèmes de sécurité ? Alors vous demandez en 2038 je ne sais pas du tout ce qui va se passer en 2038 parce que le temps va dépasser donc est-ce que ça va s'arrêter ? Je pense qu'il parle du temps UNIX qui va overflow Je ne sais pas du tout ce qui va se passer pour les compteurs intelligents. Mais je pense que la plupart de ces compteurs vont devoir avoir un misageur logiciel Je crois qu'ils font quelque chose Je crois qu'ils sont sur des processeurs 32 bits Donc on va voir ça sera un bon débat pour Twitter Alors on se voit dans 25 ans Je suis content que vous aviez parlé de ce sujet à cette conférence Je pense que c'est très important que l'on parle de ça Mais je suis pas très content que vous ayez fait ça par apporter de la peur de ce qui va se passer Je suis pas très content de la façon dont vous l'avez présenté parce que tout est très simplifié Vous avez beaucoup simplifié et je ne pense pas que c'est des solutions et je pense qu'on veut des meilleures solutions C'est un bon point C'est vrai que j'ai apporté beaucoup de peur et c'était cet effet exprès parce que nous en tant qu'experts en sécurité on voit quelque chose qui peut être haqué et on veut faire quelque chose parce que c'est important pour nous on comprend cette situation mais vous savez la plupart des gens qui sont pas dans la sécurité ils ne savent pas vraiment c'est vraiment pour ça principalement que j'utilise la peur c'est parce que c'est eux que je cible c'est pour que eux comprennent c'est vrai que c'est un point valide question d'internet pourquoi utiliser des protocoles sans fil et pas des lignes qu'on utilise sur les grands bâtiments mais il y a beaucoup de limites par rapport à où est-ce qu'ils travaillent ils les utilisent pour les petites distances courtes distances mais quand ils veulent parler à leur commande principal ils ont obligé d'utiliser du sans fil est-ce que vous avez regardé d'autres protocoles et pas que ZIGBI parce que je pense que beaucoup d'américains et d'autres pays et d'autres continents ils utilisent aussi d'autres protocoles bien sûr qu'il y a d'autres protocoles le plus utilisé ZIGBI c'est utilisé par 99% du monde donc c'est pour ça qu'on se concentre sur lui on n'a pas vraiment pris le temps de regarder les autres protocoles j'ai une question à propos de ce qui va se passer quand on contrôle ces compteurs parce que je ne sais pas vraiment comment ils marchent ils se connectent passivement à la grille alors quelle est la chance pour qu'on puisse les contrôler séparément pas uniquement juste en l'allumant et en l'éteignant la grille de pouvoir mais vraiment contrôler tout je vais faire une réponse générale si certains apparaît ils utilisent certains protocoles alors ce sera pas possible de le hacker ce sera plutôt facile mais si ça n'utilise pas de protocoles en fil si ça n'utilise je ne sais pas internet ce sera plus facile de le hacker parce que la raison est simple c'est que les fournisseurs pourront le détecter beaucoup plus facilement donc ce sera plus facile pour eux bonjour je veux d'en savoir je vais vous insérer si vous avez regardé sur les différents les différents types d'équipement dans la mesure smart parce qu'il y a les compteurs mais il y a aussi les points d'accès, les systèmes de contrôle est-ce que vous parlez de Alton non non je parle en général il y a d'autres fournisseurs qui ont une approche différente avec moins de ZigBee mais je parle surtout de l'infrastructure qui est plus centralisée de quelle façon c'est plus centralisé alors vous avez votre propre compteur pas seulement ceux qui ont smart mais aussi ceux qui sont analogiques et il se connecte à un point d'accès pour les compteurs intelligents et ça, ça transmet les données à l'administrateur de ce point d'accès donc là-dedans il n'y a pas ZigBee il n'y a pas de réseau point à point alors j'ai pas de réponse définitive à ça la plupart des compteurs intelligents utilisent ZigBee c'est une bonne question venez-moi parler plus tard on en parlera comme ça je veux garder du temps pour d'autres questions ok question de l'internet alors comme la loi impose qu'on installe des smartneteurs, on ne pourrait pas faire en sorte que la loi impose de les sécuriser alors oui absolument et c'est ce qu'on devrait faire on devrait faire que la loi impose d'avoir la sécurité et c'est l'essentiel si on ne force pas les fabricants et les financeurs d'écrister à avoir une meilleure sécurité ils ne le feront juste pas donc oui c'est au gouvernement de réguler ça alors est ce que les systèmes de debug dont vous avez parlé ne sont pas protégés par sales alors dans certains cas ils le sont dans certains cas ils le sont pas ça dépend du fabricant mais si le technicien vient physiquement jusqu'au compteur dans ce cas il pourrait accéder alors s'il y a des sellés effectivement donc merci beaucoup merci pour cette présentation