La Commission de régulation de l'énergie (CRE) vient de publier son nouveau rapport de prospective qui donne froid dans le dos. Dans certains de nos appareils connectés se cachent des mouchards activables à distance. Plus exactement, on parle d'attaques qui ont été identifiées depuis la Chine. Il est possible que votre maison connectée fasse partie des cibles potentielles.

Piratage
© Unsplash

Le rapport de prospective de la Commission de régulation de l’énergie CRE, publié en février 2026, se consacre à l’équilibre entre l’offre et la demande d’énergie. Le document ne mâche pas ses mots et parle de « cas avérés » de mouchards activables à distance dans des équipements connectés au réseau électrique français. Des mouchards qui permettent « la remontée de données vers des opérateurs chinois et l’activation à la demande de la programmation dormante à même de donner des ordres aux équipements dans un but de guerre ou d’attaque », indique le rapport.

Des portes dérobées se cachent dans vos appareils du quotidien

En clair, des appareils connectés dans les foyers et entreprises françaises ont des portes dérobées qui restent inactives mais sont susceptibles d’être déclenchées à distance par des acteurs malveillants. Le régulateur de l’énergie parle même de « gravité des risques pour la sécurité et la souveraineté énergétique » de la France.

Des révélations qui font écho au rapport « Solutions for PV Cyber Risks to Grid Stability » de SolarPower Europe, qui a été publié en avril 2025. On y apprend que les onduleurs photovoltaïques, ces équipements qui convertissent le courant continu des panneaux solaires en courant alternatif, sont notamment visés. Rappelons que plus de 200 GW de capacité solaire sont raccordés en Europe via ces appareils.

La CRE note qu’ils sont « souvent connectés à Internet et pilotés via des infrastructures cloud situées hors de l’Union européenne ». Huawei, leader du marché, gère à lui seul 114 GW de capacité d’onduleurs en Europe. Et six entreprises chinoises s’occupent de plus de 5 GW à distance sur le Vieux continent. Selon SolarPower Europe, il suffirait de mettre à peine 3 GW d’onduleurs hors service pour que le réseau électrique européen soit perturbé. Une capacité que dépassent largement ces fournisseurs chinois.

Et le problème ne se limite pas aux grandes installations solaires. La CRE parle d’une « surface d’attaque considérable » à cause du nombre d’équipements connectés au réseau électrique dans nos foyers. Les portes d’attaque sont très nombreuses : véhicules électriques qui chargent, commandes vocales qui activent le chauffage, systèmes de stockage par batterie, compteurs intelligents, gestionnaires d’énergie, etc.

Des équipements que l’on retrouve de plus en plus dans les foyers français qui s’équipent en domotique pour réduire leur facture énergétique. « Les équipements ont un impact mineur pris individuellement, mais l’ensemble cumulé de ces dispositifs offre une surface d’attaque considérable pour les réseaux électriques », résume le rapport.

Les attaques contre les foyers connectés sont en forte hausse en France

Les risques de piratage des maisons connectées sont d’ailleurs en forte hausse. On parle en moyenne de 29 cyberattaques par jour dans les foyers équipés, selon une étude Bitdefender. Les boîtiers de streaming, téléviseurs connectés et caméras IP sont les principales cibles. Le régulateur pointe un problème du doigt : « Les équipements sont fréquemment installés sans contrôle préalable, parfois directement par les consommateurs eux-mêmes, ce qui accentue les risques. »

Contrairement aux grandes entreprises qui sont soumises à un règlement très strict, les petits équipements à la maison échappent aux normes de cybersécurité. Par exemple, les caméras de surveillance sont souvent livrées avec des identifiants par défaut que les utilisateurs ne modifient pas. Le même constat s’applique aux bornes de recharge pour véhicules électriques installées à domicile. Ces équipements connectés au réseau sont des portes d’entrée pour les attaquants.

La CRE a aussi identifié trois vulnérabilités constantes pour le réseau électrique français. D’abord, il y a la dépendance aux données météorologiques américaines. Les prévisions qui conditionnent les choix opérationnels du système électrique reposent sur des échanges avec la National Oceanic and Atmospheric Administration. La réduction des crédits alloués à cette agence et les tensions diplomatiques avec l’administration Trump peuvent affecter la qualité des prévisions en France.

Il y a ensuite la dépendance technologique. Les semi-conducteurs de moins de 10 nm nécessaires aux équipements connectés sont produits presque entièrement aux États-Unis, à Taïwan et en Corée du Sud. Quant à la chaîne d’approvisionnement des batteries lithium-nickel-cobalt-manganèse, c’est la Chine qui domine.

Pour finir, il y a la dépendance aux services cloud, également américains. Amazon, AWS, Microsoft Azure et Google Cloud ont près de 70 % du marché européen. Le Cloud Act américain permet aux autorités du pays d’accéder aux données stockées dans des centres européens si le fournisseur est américain, un conflit direct avec le RGPD.

L’Europe réplique pour protéger les consommateurs

Face à ces menaces, Bruxelles prend les devants. La directive NIS2 est en cours de transposition en France et imposera aux opérateurs des obligations strictes de gestion des risques et de détection des incidents. Le Cyber Resilience Act sera applicable à partir de 2027 avec de nouvelles exigences en termes de cybersécurité dès la conception des appareils connectés. Mais la CRE note que « ces nouvelles exigences ne portent pas sur le parc existant d’équipements » qui ne répond pas aux standards de sécurité.

Le rapport partage plusieurs recommandations pour protéger le système électrique. D’abord, renforcer les obligations qui pèsent sur les équipements raccordés au réseau, que ce soit les onduleurs, les véhicules électriques, les compteurs, etc. Le but est « d’éviter la création de nouvelles dépendances systémiques à des puissances hors UE ». Des mesures qui s’appliqueront aux futures installations, mais aussi au parc déjà installé.

Ensuite, imposer aux installateurs la transparence sur les services cloud utilisés pour les équipements qu’ils installent. Et possiblement, « interdire le raccordement de produits pilotés par des clouds détenus et hébergés par des entreprises hors-UE ».

Enfin, organiser des exercices de cybersécurité pour tester la résilience du système énergétique. Dans les 12 à 18 mois à venir, un groupe de travail qui regroupe la CRE, l’ANSSI, RTE, Enedis et les représentants d’équipementiers soumettra un rapport.

Comment se protéger contre les attaques qui ciblent mes appareils connectés ?

En attendant un cadre réglementaire, les recommandations pour sécuriser sa maison connectée restent de mise :

  • Modifier systématiquement les mots de passe par défaut de vos équipements connectés
  • Programmer les mises à jour automatiques des firmwares
  • Vérifier d’où viennent les équipements et choisir les constructeurs européens quand c’est possible
  • Sécuriser votre réseau Wi-Fi avec un protocole de chiffrement récent
  • Isoler les objets connectés sur un réseau dédié

La multiplication des appareils connectés dans nos foyers ne s’arrêtera pas. Les bornes de recharge se démocratisent alors que les batteries domestiques arrivent sur le marché. La transition énergétique pousse aussi à l’électrification, mais cette numérisation doit s’accompagner d’une prise de conscience. Sachez que chaque nouvel équipement connecté est une possible porte d’entrée pour des acteurs malveillants.

Source : CRE