Des trains conçus pour tomber en panne après une réparation par un tiers, selon des hackers

 (arstechnica.com)
1 points par GN⁺ 2023-12-15 | 1 commentaires | Partager sur WhatsApp

Le déverrouillage secret du constructeur ferroviaire

  • Un problème inédit de droit à la réparation affectant l’exploitation ferroviaire en Pologne a émergé.
  • Le groupe de hackers éthiques Dragon Sector a été sollicité pour analyser le logiciel des trains.
  • Le constructeur ferroviaire Newag a menacé de poursuivre les hackers pour diffamation.

Des trains auraient été conçus pour tomber en panne après une réparation par un tiers

  • Dragon Sector affirme que Newag a inséré du code dans le système de contrôle des trains Impuls afin qu’ils cessent de fonctionner après avoir été stationnés plusieurs jours dans des ateliers de réparation indépendants.
  • Une logique empêchant les trains de bouger dans certains lieux aurait été appliquée, ces lieux correspondant à des halls de maintenance d’entreprises comme SPS.
  • Du code aurait aussi été inclus pour empêcher les trains de fonctionner si certaines pièces étaient remplacées sans numéro de série approuvé par le constructeur.

Les menaces de poursuites n’ont pas réduit les hackers au silence

  • Dragon Sector a découvert des « codes de déverrouillage non documentés » pouvant être saisis depuis le panneau du conducteur pour remettre les trains en service.
  • Newag affirme n’avoir jamais introduit dans le logiciel de solution provoquant délibérément des pannes.
  • Dragon Sector et SPS nient avoir interféré avec le système de contrôle des trains.

L’avis de GN⁺

  • Cette affaire soulève un débat majeur autour du droit à la réparation des consommateurs. Elle met en lumière des questions éthiques et juridiques sur les tentatives des constructeurs d’imposer des services de réparation exclusifs.
  • Le fait que des hackers aient analysé le logiciel des trains pour résoudre le problème montre la puissance de la technologie et l’importance du partage des connaissances.
  • Au-delà du problème technique, cet article a le potentiel de lancer une discussion passionnante sur les politiques d’entreprise et les droits des consommateurs.

À lire aussi

1 commentaires

 
GN⁺ 2023-12-15
Avis sur Hacker News

  • Fils de discussion précédents associés :

  • Plaintes concernant la conception du produit :

    « Le problème n’est pas seulement que le produit a été conçu pour tomber en panne, mais aussi que cela a créé des situations où il pouvait réellement tomber en panne en service. Je pense que les dirigeants de l’entreprise devraient être tenus personnellement responsables d’avoir mis la vie des passagers en danger. »

  • Demande d’un meilleur article :

  • Soupçons de manipulation logicielle :

    « Selon Dragon Sector, Newag aurait introduit du code dans le système de contrôle des trains Impuls afin qu’ils cessent de fonctionner si un traceur GPS détectait que le train était stationné pendant plusieurs jours dans un atelier de maintenance indépendant. Cela semble extrêmement grave. »

  • Espoir de conservation des preuves par le développeur :

    « J’espère que le développeur à qui l’on a demandé d’implémenter cela a conservé des documents prouvant qui lui en a donné l’ordre. Sinon, il découvrira comment la loyauté est récompensée. »

  • Remarque sur les actualités en doublon :

  • Démenti de l’entreprise sur la possibilité de manipulation à distance :

    « Newag affirme que “toute intervention à distance” est “pratiquement impossible”. Mais d’après mon expérience, la plupart des entreprises qui maintiennent des systèmes automatisés/robotisés conservent des “portes dérobées” pour accéder rapidement et efficacement au logiciel à distance, non pas pour désactiver le système à distance, mais pour résoudre ou corriger des problèmes. Dire que c’est “impossible” n’est donc pas vrai. »

  • Possibilité de sanctions pénales pour fraude :

    « Je me demande s’il y a matière à poursuites pour fraude et à une détention. »

  • Résumé de l’affaire :

    « SPS, une entreprise polonaise de maintenance ferroviaire, a commencé à soupçonner quelque chose lorsque des trains fabriqués par Newag tombaient “aléatoirement” en panne et devenaient impossibles à réparer, ce qui lui a valu des amendes de plusieurs millions de dollars infligées par le gouvernement polonais pour retard de réparation. SPS a secrètement engagé le groupe de hackers Dragon Sector pour examiner pendant deux mois le code des trains Newag. Les hackers ont découvert des faits stupéfiants relevant du “capitalisme tardif” ou, plus précisément, du protectionnisme d’entreprise, du sabotage, de l’extorsion, etc. Par exemple, une partie du code secret qu’ils ont trouvée faisait ceci :

    • faisait tomber le train en panne s’il entrait dans une zone géographique autour des dépôts de 5 entreprises polonaises de maintenance ferroviaire.
    • faisait tomber le train en panne après 1 million de kilomètres parcourus.
    • faisait tomber le train en panne s’il ne bougeait pas pendant 10 jours.
    • il existait une combinaison secrète de boutons pour désactiver la “panne”. »

  • Étonnement face à la méthode de manipulation logicielle :

    « Il existe de nombreuses façons d’ajouter des portes dérobées ou d’autres Easter eggs amusants dans le code, mais eux ont choisi une méthode d’exploitation extrêmement lourde et évidente : neutraliser le train s’il est stationné aux coordonnées latitude/longitude d’un concurrent. »