1 points par GN⁺ 2023-12-15 | 1 commentaires | Partager sur WhatsApp
  • En Pologne, des trains fabriqués par Newag se sont retrouvés hors service après une maintenance par un tiers, perturbant l’exploitation ferroviaire et la capacité d’accueil des passagers
  • Le groupe de hacking éthique Dragon Sector affirme que le système de contrôle des trains Impuls contenait un code de verrouillage conditionné par l’emplacement des ateliers de maintenance et les numéros de série des pièces
  • Newag nie toute fonctionnalité destinée à provoquer délibérément des pannes et menace Dragon Sector de poursuites pour diffamation et violation des lois sur le hacking
  • Dragon Sector dit avoir résolu le problème grâce à un unlock code non documenté saisi depuis le panneau de cabine, et nie, avec SPS, toute manipulation du système de contrôle
  • Le conflit entre le constructeur et les réparateurs indépendants s’étend au débat sur le droit à la réparation, avec en jeu les limites entre arguments de sécurité, pression juridique et verrous logiciels

Des réparations par des tiers qui ont perturbé le trafic ferroviaire polonais

  • En Pologne, des trains fabriqués par Newag ont cessé de fonctionner après avoir été entretenus par une entreprise autre que le constructeur
  • Le prestataire de maintenance Serwis Pojazdów Szynowych(SPS) a chargé en juin 2022 le groupe de hacking éthique Dragon Sector d’analyser le logiciel des trains
  • Les véhicules concernés appartenaient à l’opérateur ferroviaire polonais Lower Silesian Railway, et les « pannes mystérieuses » de plusieurs rames ont réduit le nombre de voitures disponibles
    • Selon Rynek Kolejowy, la pénurie de trains est devenue un « sérieux problème » pour le transporteur et les passagers
    • Avec moins de véhicules disponibles, les trains ont été raccourcis et leur capacité d’accueil a diminué

Les conditions de verrouillage pointées par Dragon Sector

  • Après deux mois d’analyse du logiciel, Dragon Sector a conclu qu’une « intervention du constructeur » avait provoqué des pannes forcées et empêché le démarrage des trains
  • L’affirmation centrale est que Newag aurait intégré au système de contrôle des trains Impuls du code bloquant l’exploitation dans certaines conditions
    • Le groupe affirme qu’une condition arrêtait le fonctionnement si le traceur GPS estimait que le train était resté garé plusieurs jours dans un atelier de maintenance indépendant
    • Les ateliers de maintenance de SPS et ceux d’entreprises similaires du secteur auraient été inclus dans les conditions liées à l’emplacement
    • Un atelier de SPS encore en construction aurait aussi été inclus dans ces conditions
  • Selon 404 Media, il a également été affirmé que les trains étaient rendus inutilisables si certaines pièces avaient été remplacées sans numéro de série approuvé par le constructeur

Un unlock code non documenté

  • Dragon Sector a indiqué à 404 Media avoir découvert un unlock code non documenté pouvant être saisi depuis le panneau de cabine, et avoir résolu le problème grâce à ce code
  • Sergiusz Bazański, de Dragon Sector, a écrit sur Mastodon que les trains avaient été verrouillés pour des raisons arbitraires après avoir été entretenus dans des ateliers tiers
  • Bazański a déclaré que le constructeur imputait le problème à des erreurs de l’atelier et affirmait que la maintenance devait être effectuée par le constructeur plutôt que par un tiers
  • Dans certains cas, il a aussi été affirmé que Newag semblait pouvoir verrouiller les trains à distance
  • Newag a répliqué que « toute intervention à distance » était « pratiquement impossible »

Les démentis de Newag et ses menaces d’action en justice

  • Newag nie avoir développé un logiciel de type « workshop-detection » ou une fonctionnalité provoquant des pannes intentionnelles
  • L’entreprise a menacé Dragon Sector de poursuites, l’accusant de diffamation et de violation des lois liées au hacking
  • Elle a aussi affirmé que les trains hackés pouvaient représenter une menace pour la sécurité du trafic ferroviaire et devaient donc être retirés de l’exploitation
    • 404 Media rapporte que les arguments de Newag liés à la sécurité n’ont pas encore été prouvés
  • Newag a déclaré que le rapport de Dragon Sector n’était pas fiable, avançant comme raison que l’analyse avait été commandée par l’un de ses principaux concurrents
  • Le président de Newag, Zbigniew Konieczek, a déclaré qu’aucune preuve n’avait été fournie montrant que l’entreprise avait intentionnellement installé un logiciel défectueux
    • Il a aussi évoqué la possibilité qu’un concurrent soit intervenu dans le logiciel
    • Konieczek a critiqué Janusz Cieszyński, l’accusant d’avoir diffusé des informations fausses et très préjudiciables sur Newag

Enquête des autorités et extension au débat sur le droit à la réparation

  • Newag a déclaré avoir contacté les autorités pour enquêter sur le hacking et avoir informé l’Office du transport ferroviaire afin qu’il décide si les véhicules concernés devaient être retirés du service
  • L’ancien ministre polonais du Numérique, Janusz Cieszyński, a écrit sur X que le président de Newag l’avait contacté en affirmant que l’entreprise était victime de cybercriminalité
  • Cieszyński a écrit que l’analyse qu’il avait consultée allait dans une autre direction que les affirmations de Newag
  • Dragon Sector et SPS nient avoir manipulé le système de contrôle des trains
  • 404 Media estime que la réaction de Newag ressemble à des pratiques courantes dans le domaine du droit à la réparation
    • Une méthode où les constructeurs mettent la pression sur des réparateurs concurrents par des menaces de poursuites et des affirmations non prouvées sur les risques de sécurité des réparations par des tiers
  • Dragon Sector a publié une démonstration de réussite sur YouTube et a discuté de ses résultats lors de la conférence Oh My H@ck à Varsovie
  • Selon The Register, Dragon Sector prévoit une présentation plus détaillée lors du 37th Chaos Communication Congress, qui se tiendra fin décembre à Hambourg, en Allemagne
  • Michał Kowalczyk, de Dragon Sector, a déclaré à 404 Media que la ligne de défense de Newag était faible et qu’il lui serait difficile de se défendre lors d’un véritable procès, estimant que l’entreprise semblait surtout chercher à paraître menaçante dans les médias

1 commentaires

 
GN⁺ 2023-12-15
Avis sur Hacker News
  • Discussions précédentes sur la même information :
    https://news.ycombinator.com/item?id=38628635
    https://news.ycombinator.com/item?id=38632033

  • Ce qui est vraiment dérangeant dans cette affaire, ce n’est pas seulement que le train ait été conçu pour tomber en panne, mais que cette conception ait été bâclée au point qu’il aurait pu tomber en panne en service
    Si le constructeur a mis en danger la vie des passagers, tous les dirigeants de cette entreprise devraient être tenus personnellement responsables
    https://news.ycombinator.com/item?id=38641289
    Si cet angle est étudié plus en profondeur, je pense que l’affaire cessera d’être un simple litige commercial pour devenir un problème bien plus grave

    • Quand quelque chose de mauvais arrive, les dirigeants disent qu’ils n’étaient pas au courant et qu’ils se sont contentés de faire faire le travail à d’autres ; quand quelque chose de bon arrive, ils s’attribuent tout le mérite en disant que ce sont eux qui ont fait travailler les gens
    • Le problème a commencé à l’époque où des autoroutes ont été construites partout aux États-Unis, puis il n’a fait qu’empirer lorsque les États-Unis ont dérégulé l’industrie ferroviaire et l’ont mise en concurrence avec le transport routier longue distance
      L’épisode de John Oliver sur le rail expliquait très bien tout cela
      Ensuite, les travailleurs ont perdu leurs jours de repos, les équipages ont été réduits à 2 personnes par train, et on cherche maintenant à passer à 1 seule
      Les trains se sont allongés jusqu’à atteindre plusieurs miles, bloquant des routes et des ambulances et causant la mort de plusieurs personnes ; il y a aussi eu des enfants percutés alors qu’ils rampaient sous des trains pour aller à l’école
      Le conducteur doit parcourir à pied un train long de 4 miles pour « l’inspecter », mais à cause de la dérégulation, le temps d’inspection qui permettait auparavant de passer toute la checklist en revue a été réduit à quelques minutes
      Les pouvoirs de l’unique autorité de régulation ont été affaiblis, et des trains équipés de freins dignes du début des années 1900 circulent encore
      Des « accidents » avec fuite de produits chimiques se produisent plusieurs fois par an, et tout cela au nom de la recherche du profit
      Ces travailleurs restent constamment surmenés, mais ne peuvent pas prendre de congé maladie sans l’avoir planifié 2 à 3 mois à l’avance
      Les accidents ferroviaires sont désormais difficiles à éviter, et le prochain pourrait être encore plus catastrophique que celui de Palestine, dans l’Ohio
      Le rail est vraiment formidable et peut apporter énormément à la société ; c’est triste de voir ce que la quête du profit des entreprises et la dérégulation en ont fait
    • Le simple fait qu’un train tombe en panne ou s’arrête ne crée pas en soi un risque de blessure ou de décès
  • Cette histoire est mieux résumée dans cet article :
    https://badcyber.com/dieselgate-but-for-trains-some-heavywei...

    • Il y a aussi une discussion HN liée : https://news.ycombinator.com/item?id=38567687 il y a 5 jours, 289 commentaires
    • « Une condition avait été écrite dans le code informatique pour désactiver la capacité de circuler si le train restait au moins 10 jours dans l’un de ces ateliers », c’est vraiment manifestement inacceptable
    • L’article original vaut aussi la lecture
      On y trouve la posture arrogante et éhontée de la direction de Newag ; en résumé, cela revient à dire : « Vous ne pouvez pas prouver que c’est nous qui avons installé dans nos trains ce logiciel destiné à entraver nos concurrents »
    • Ce titre est beaucoup trop trompeur
      Comme le sujet m’intéressait, j’ai vu le lien sur HN, mais en lisant « Dieselgate », j’ai naturellement pensé qu’il s’agissait d’émissions polluantes et je suis passé à autre chose
      Je me suis dit que les émissions des trains étaient déjà bien connues et qu’il n’y aurait rien de vraiment nouveau
      Il aurait fallu mettre verrouillage fournisseur ou droit à la réparation dans le titre
  • Selon Dragon Sector, Newag aurait inséré du code dans le système de contrôle des trains Impuls afin de les immobiliser si le traceur GPS indiquait qu’ils étaient restés plusieurs jours dans un atelier de maintenance indépendant
    C’est un indice assez accablant
    Je me demande si c’est l’œuvre d’un développeur isolé, ou si l’ordre est venu d’en haut

    • Zbigniew Konieczek, le président de Newag, a déclaré : « Aucune preuve n’a été présentée montrant que notre entreprise aurait intentionnellement installé un logiciel défectueux. Selon nous, la vérité pourrait être tout autre. Par exemple, un concurrent a pu intervenir sur le logiciel »
      Cette excuse est tellement absurde qu’elle semble plutôt montrer clairement que la direction était au courant
    • Quel développeur isolé se dirait : « Je vais trouver toutes les coordonnées GPS des ateliers de maintenance ferroviaire et faire en sorte que le train ne fonctionne plus s’il y reste stationné plusieurs jours » ?
    • Un développeur isolé n’aurait absolument aucune raison de faire cela puis de cacher cette décision à la direction
      Bien sûr, un développeur isolé pourrait avoir l’idée et la proposer à la direction en espérant une grosse prime
      Mais pourquoi le faire en secret ?
      Il est difficile d’imaginer un scénario où la haute direction ne serait pas impliquée
    • Si les autres explications échouent, ils tenteront certainement aussi celle-là
      Pour l’instant, leur position ressemble à : « Il n’y a pas ce genre de code dans les trains, et même s’il y en a, il n’est pas de nous »
    • Même si un employé l’a fait sans autorisation, l’entreprise doit quand même en répondre
      Je ne pense pas que les règles de sécurité exonèrent le fabricant de sa responsabilité vis-à-vis des actes de ses employés
      Au contraire, elles devraient imposer d’assurer la sécurité au moyen de revues, d’audits, etc., même en présence d’un employé déviant
  • J’espère que le développeur à qui on a imposé d’implémenter ça a conservé des preuves documentaires montrant qui lui en a donné l’ordre
    Sinon, il découvrira comment la loyauté est récompensée de nos jours

    • Même s’il a conservé de tels documents, il devrait être puni avec le manager qui lui a donné l’ordre
      Il savait que c’était contraire à l’éthique et aurait dû refuser
      Pour les programmeurs, le risque d’être licencié n’est guère un problème aussi grave que dans presque d’autres métiers
    • Qu’il y ait ou non une trace écrite, la société a besoin de moins de personnes qui font ce genre de choses
      Si la personne qui a implémenté ça lit ceci, vous êtes une très mauvaise personne, et vous êtes nuisible à la société
    • J’espère que ce développeur témoignera, que des cadres plus haut placés paieront des amendes et iront aussi en prison
      L’entreprise devrait également se voir infliger d’énormes pénalités contractuelles et sanctions
      Je ne m’y attends pas, mais ce serait bien que cela arrive
  • Est-ce qu’on finira vraiment par voir le jour où vendre un produit contenant du sabotage conduira à des poursuites pour fraude et à la prison ?

    • En théorie, les inculpations récemment rendues publiques ont commencé par la notification de deux infractions passibles de 6 mois à 8 ans de prison
    • Pourquoi les puissants se puniraient-ils eux-mêmes ?
  • Newag aurait affirmé que « toute intervention à distance est de fait impossible », ce qui est une déclaration assez audacieuse
    D’après mon expérience, presque toutes les entreprises qui fabriquent des systèmes d’automatisation et de robotique conservent une forme ou une autre de backdoor
    Pas dans le but de désactiver à distance, mais pour pouvoir accéder rapidement et efficacement à distance au problème lorsqu’on leur demande de le résoudre
    Cela n’a aucun sens de prendre l’avion jusqu’au client, parfois à l’autre bout du monde, pour vérifier une incompatibilité d’IP locale ou l’arrêt d’un service système ; dire que c’est « impossible » n’est donc pas vrai

  • En résumé, l’entreprise polonaise de maintenance ferroviaire SPS a trouvé suspect que les trains fabriqués par Newag tombent sans cesse en panne « au hasard » et soient impossibles à réparer
    En raison d’un contrat prévoyant des pénalités en cas de retard de réparation, elle payait des millions d’amendes à l’État polonais
    Elle a donc engagé secrètement pendant deux mois des hackers appelés Dragon Sector pour fouiller dans le code des trains Newag, et ceux-ci ont trouvé des choses stupéfiantes relevant du capitalisme tardif, du protectionnisme d’entreprise, du sabotage ou de la demande de rançon
    Le code secret découvert mettait les trains en panne lorsqu’ils entraient dans des polygones géographiques autour des dépôts de cinq entreprises polonaises de maintenance ferroviaire, dont SPS, les mettait en panne après 1 million de km, les mettait en panne s’ils restaient immobiles pendant 10 jours, et incluait aussi une combinaison secrète de boutons permettant de désactiver la « panne »

    • Je me demande s’il existe un rapport technique bas niveau public
      J’adore la rétro-ingénierie de firmware, et là ça ressemble au Graal
      Des trains, carrément ; j’aimerais que quelqu’un fasse fuiter les binaires
    • Des débutants
      Tout le monde sait qu’il faut cacher ce genre de plaisanteries derrière des appels à un service web pour que les preuves ne soient pas découvertes directement côté client
    • Je viens de comprendre que la « pollution des plateformes du capitalisme tardif » est fondamentalement la même chose que la Verelendung prédite par Marx
  • C’est un doublon
    Plus personne ne lit le site, maintenant ?
    La discussion originale sur l’actualité a eu lieu il y a un peu plus d’une semaine : https://news.ycombinator.com/item?id=38530885
    Il y a aussi la réponse ultérieure de l’entreprise
    Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
    Et en plus, pas plus tard qu’hier, il y a eu un doublon 404media qui a reçu beaucoup de votes
    https://news.ycombinator.com/item?id=38628635

    • Il y a une obligation de lire tous les articles de la page d’accueil tous les jours pour avoir le droit de continuer à venir ?
      On ne peut pas se connecter tous les quelques jours, lire quelques trucs, voter pour ceux qu’on aime, puis revenir quelques jours plus tard ?
    • Je ne lis pas la plupart des sites liés ici
      Je viens ici pour les commentaires
      Je pars du principe que si quelque chose est suffisamment important à savoir, ce sera cité directement dans les commentaires
  • Je m’attendais à un malware du genre : « frappez trois fois à cette porte pour entrer, sinon la porte restera verrouillée à jamais »
    Mais en réalité, c’était : « si le train est géographiquement stationné à la latitude et longitude d’un concurrent, on le transforme en brique »
    Il y a de nombreuses façons d’ajouter une backdoor ou un easter egg amusant dans du code, et ils ont choisi une méthode d’abus vraiment lourde et flagrante

    • Tu n’étais pas loin
      Il y avait une combinaison secrète de boutons sur la console du conducteur, et en la pressant le train était magiquement débloqué
      Elle a maintenant été supprimée
    • À lire la position officielle, il est difficile de ne pas avoir l’impression qu’ils n’ont même pas consulté un avocat
      La manière dont ils nient certaines accusations revient presque à supplier qu’on enquête davantage
      Je suis polonais et j’ai déjà travaillé avec ce genre de personnes par le passé ; ce communiqué sent une manière de faire des affaires dont j’espérais qu’elle avait disparu
      Mais il semble qu’elle subsiste encore ici et là