Des trains conçus pour tomber en panne après une réparation par des tiers, découverts par des hackers
(arstechnica.com)- En Pologne, des trains fabriqués par Newag se sont retrouvés hors service après une maintenance par un tiers, perturbant l’exploitation ferroviaire et la capacité d’accueil des passagers
- Le groupe de hacking éthique Dragon Sector affirme que le système de contrôle des trains Impuls contenait un code de verrouillage conditionné par l’emplacement des ateliers de maintenance et les numéros de série des pièces
- Newag nie toute fonctionnalité destinée à provoquer délibérément des pannes et menace Dragon Sector de poursuites pour diffamation et violation des lois sur le hacking
- Dragon Sector dit avoir résolu le problème grâce à un unlock code non documenté saisi depuis le panneau de cabine, et nie, avec SPS, toute manipulation du système de contrôle
- Le conflit entre le constructeur et les réparateurs indépendants s’étend au débat sur le droit à la réparation, avec en jeu les limites entre arguments de sécurité, pression juridique et verrous logiciels
Des réparations par des tiers qui ont perturbé le trafic ferroviaire polonais
- En Pologne, des trains fabriqués par Newag ont cessé de fonctionner après avoir été entretenus par une entreprise autre que le constructeur
- Le prestataire de maintenance Serwis Pojazdów Szynowych(SPS) a chargé en juin 2022 le groupe de hacking éthique Dragon Sector d’analyser le logiciel des trains
- Les véhicules concernés appartenaient à l’opérateur ferroviaire polonais Lower Silesian Railway, et les « pannes mystérieuses » de plusieurs rames ont réduit le nombre de voitures disponibles
- Selon Rynek Kolejowy, la pénurie de trains est devenue un « sérieux problème » pour le transporteur et les passagers
- Avec moins de véhicules disponibles, les trains ont été raccourcis et leur capacité d’accueil a diminué
Les conditions de verrouillage pointées par Dragon Sector
- Après deux mois d’analyse du logiciel, Dragon Sector a conclu qu’une « intervention du constructeur » avait provoqué des pannes forcées et empêché le démarrage des trains
- L’affirmation centrale est que Newag aurait intégré au système de contrôle des trains Impuls du code bloquant l’exploitation dans certaines conditions
- Le groupe affirme qu’une condition arrêtait le fonctionnement si le traceur GPS estimait que le train était resté garé plusieurs jours dans un atelier de maintenance indépendant
- Les ateliers de maintenance de SPS et ceux d’entreprises similaires du secteur auraient été inclus dans les conditions liées à l’emplacement
- Un atelier de SPS encore en construction aurait aussi été inclus dans ces conditions
- Selon 404 Media, il a également été affirmé que les trains étaient rendus inutilisables si certaines pièces avaient été remplacées sans numéro de série approuvé par le constructeur
Un unlock code non documenté
- Dragon Sector a indiqué à 404 Media avoir découvert un unlock code non documenté pouvant être saisi depuis le panneau de cabine, et avoir résolu le problème grâce à ce code
- Sergiusz Bazański, de Dragon Sector, a écrit sur Mastodon que les trains avaient été verrouillés pour des raisons arbitraires après avoir été entretenus dans des ateliers tiers
- Bazański a déclaré que le constructeur imputait le problème à des erreurs de l’atelier et affirmait que la maintenance devait être effectuée par le constructeur plutôt que par un tiers
- Dans certains cas, il a aussi été affirmé que Newag semblait pouvoir verrouiller les trains à distance
- Newag a répliqué que « toute intervention à distance » était « pratiquement impossible »
Les démentis de Newag et ses menaces d’action en justice
- Newag nie avoir développé un logiciel de type « workshop-detection » ou une fonctionnalité provoquant des pannes intentionnelles
- L’entreprise a menacé Dragon Sector de poursuites, l’accusant de diffamation et de violation des lois liées au hacking
- Elle a aussi affirmé que les trains hackés pouvaient représenter une menace pour la sécurité du trafic ferroviaire et devaient donc être retirés de l’exploitation
- 404 Media rapporte que les arguments de Newag liés à la sécurité n’ont pas encore été prouvés
- Newag a déclaré que le rapport de Dragon Sector n’était pas fiable, avançant comme raison que l’analyse avait été commandée par l’un de ses principaux concurrents
- Le président de Newag, Zbigniew Konieczek, a déclaré qu’aucune preuve n’avait été fournie montrant que l’entreprise avait intentionnellement installé un logiciel défectueux
- Il a aussi évoqué la possibilité qu’un concurrent soit intervenu dans le logiciel
- Konieczek a critiqué Janusz Cieszyński, l’accusant d’avoir diffusé des informations fausses et très préjudiciables sur Newag
Enquête des autorités et extension au débat sur le droit à la réparation
- Newag a déclaré avoir contacté les autorités pour enquêter sur le hacking et avoir informé l’Office du transport ferroviaire afin qu’il décide si les véhicules concernés devaient être retirés du service
- L’ancien ministre polonais du Numérique, Janusz Cieszyński, a écrit sur X que le président de Newag l’avait contacté en affirmant que l’entreprise était victime de cybercriminalité
- Cieszyński a écrit que l’analyse qu’il avait consultée allait dans une autre direction que les affirmations de Newag
- Dragon Sector et SPS nient avoir manipulé le système de contrôle des trains
- 404 Media estime que la réaction de Newag ressemble à des pratiques courantes dans le domaine du droit à la réparation
- Une méthode où les constructeurs mettent la pression sur des réparateurs concurrents par des menaces de poursuites et des affirmations non prouvées sur les risques de sécurité des réparations par des tiers
- Dragon Sector a publié une démonstration de réussite sur YouTube et a discuté de ses résultats lors de la conférence Oh My H@ck à Varsovie
- Selon The Register, Dragon Sector prévoit une présentation plus détaillée lors du 37th Chaos Communication Congress, qui se tiendra fin décembre à Hambourg, en Allemagne
- Michał Kowalczyk, de Dragon Sector, a déclaré à 404 Media que la ligne de défense de Newag était faible et qu’il lui serait difficile de se défendre lors d’un véritable procès, estimant que l’entreprise semblait surtout chercher à paraître menaçante dans les médias
1 commentaires
Avis sur Hacker News
Discussions précédentes sur la même information :
https://news.ycombinator.com/item?id=38628635
https://news.ycombinator.com/item?id=38632033
Polish Hackers that repaired DRM trains threatened by train company - https://news.ycombinator.com/item?id=38628635 - déc. 2023 (137 commentaires)
Polish train maker denies claims its software bricked competitor rolling stock - https://news.ycombinator.com/item?id=38570654 - déc. 2023 (2 commentaires)
Dieselgate, but for trains – some heavyweight hardware hacking - https://news.ycombinator.com/item?id=38567687 - déc. 2023 (292 commentaires)
Polish trains lock up when serviced in third-party workshops - https://news.ycombinator.com/item?id=38530885 - déc. 2023 (359 commentaires)
Ce qui est vraiment dérangeant dans cette affaire, ce n’est pas seulement que le train ait été conçu pour tomber en panne, mais que cette conception ait été bâclée au point qu’il aurait pu tomber en panne en service
Si le constructeur a mis en danger la vie des passagers, tous les dirigeants de cette entreprise devraient être tenus personnellement responsables
https://news.ycombinator.com/item?id=38641289
Si cet angle est étudié plus en profondeur, je pense que l’affaire cessera d’être un simple litige commercial pour devenir un problème bien plus grave
L’épisode de John Oliver sur le rail expliquait très bien tout cela
Ensuite, les travailleurs ont perdu leurs jours de repos, les équipages ont été réduits à 2 personnes par train, et on cherche maintenant à passer à 1 seule
Les trains se sont allongés jusqu’à atteindre plusieurs miles, bloquant des routes et des ambulances et causant la mort de plusieurs personnes ; il y a aussi eu des enfants percutés alors qu’ils rampaient sous des trains pour aller à l’école
Le conducteur doit parcourir à pied un train long de 4 miles pour « l’inspecter », mais à cause de la dérégulation, le temps d’inspection qui permettait auparavant de passer toute la checklist en revue a été réduit à quelques minutes
Les pouvoirs de l’unique autorité de régulation ont été affaiblis, et des trains équipés de freins dignes du début des années 1900 circulent encore
Des « accidents » avec fuite de produits chimiques se produisent plusieurs fois par an, et tout cela au nom de la recherche du profit
Ces travailleurs restent constamment surmenés, mais ne peuvent pas prendre de congé maladie sans l’avoir planifié 2 à 3 mois à l’avance
Les accidents ferroviaires sont désormais difficiles à éviter, et le prochain pourrait être encore plus catastrophique que celui de Palestine, dans l’Ohio
Le rail est vraiment formidable et peut apporter énormément à la société ; c’est triste de voir ce que la quête du profit des entreprises et la dérégulation en ont fait
Cette histoire est mieux résumée dans cet article :
https://badcyber.com/dieselgate-but-for-trains-some-heavywei...
On y trouve la posture arrogante et éhontée de la direction de Newag ; en résumé, cela revient à dire : « Vous ne pouvez pas prouver que c’est nous qui avons installé dans nos trains ce logiciel destiné à entraver nos concurrents »
Comme le sujet m’intéressait, j’ai vu le lien sur HN, mais en lisant « Dieselgate », j’ai naturellement pensé qu’il s’agissait d’émissions polluantes et je suis passé à autre chose
Je me suis dit que les émissions des trains étaient déjà bien connues et qu’il n’y aurait rien de vraiment nouveau
Il aurait fallu mettre verrouillage fournisseur ou droit à la réparation dans le titre
Selon Dragon Sector, Newag aurait inséré du code dans le système de contrôle des trains Impuls afin de les immobiliser si le traceur GPS indiquait qu’ils étaient restés plusieurs jours dans un atelier de maintenance indépendant
C’est un indice assez accablant
Je me demande si c’est l’œuvre d’un développeur isolé, ou si l’ordre est venu d’en haut
Cette excuse est tellement absurde qu’elle semble plutôt montrer clairement que la direction était au courant
Bien sûr, un développeur isolé pourrait avoir l’idée et la proposer à la direction en espérant une grosse prime
Mais pourquoi le faire en secret ?
Il est difficile d’imaginer un scénario où la haute direction ne serait pas impliquée
Pour l’instant, leur position ressemble à : « Il n’y a pas ce genre de code dans les trains, et même s’il y en a, il n’est pas de nous »
Je ne pense pas que les règles de sécurité exonèrent le fabricant de sa responsabilité vis-à-vis des actes de ses employés
Au contraire, elles devraient imposer d’assurer la sécurité au moyen de revues, d’audits, etc., même en présence d’un employé déviant
J’espère que le développeur à qui on a imposé d’implémenter ça a conservé des preuves documentaires montrant qui lui en a donné l’ordre
Sinon, il découvrira comment la loyauté est récompensée de nos jours
Il savait que c’était contraire à l’éthique et aurait dû refuser
Pour les programmeurs, le risque d’être licencié n’est guère un problème aussi grave que dans presque d’autres métiers
Si la personne qui a implémenté ça lit ceci, vous êtes une très mauvaise personne, et vous êtes nuisible à la société
L’entreprise devrait également se voir infliger d’énormes pénalités contractuelles et sanctions
Je ne m’y attends pas, mais ce serait bien que cela arrive
Est-ce qu’on finira vraiment par voir le jour où vendre un produit contenant du sabotage conduira à des poursuites pour fraude et à la prison ?
Newag aurait affirmé que « toute intervention à distance est de fait impossible », ce qui est une déclaration assez audacieuse
D’après mon expérience, presque toutes les entreprises qui fabriquent des systèmes d’automatisation et de robotique conservent une forme ou une autre de backdoor
Pas dans le but de désactiver à distance, mais pour pouvoir accéder rapidement et efficacement à distance au problème lorsqu’on leur demande de le résoudre
Cela n’a aucun sens de prendre l’avion jusqu’au client, parfois à l’autre bout du monde, pour vérifier une incompatibilité d’IP locale ou l’arrêt d’un service système ; dire que c’est « impossible » n’est donc pas vrai
En résumé, l’entreprise polonaise de maintenance ferroviaire SPS a trouvé suspect que les trains fabriqués par Newag tombent sans cesse en panne « au hasard » et soient impossibles à réparer
En raison d’un contrat prévoyant des pénalités en cas de retard de réparation, elle payait des millions d’amendes à l’État polonais
Elle a donc engagé secrètement pendant deux mois des hackers appelés Dragon Sector pour fouiller dans le code des trains Newag, et ceux-ci ont trouvé des choses stupéfiantes relevant du capitalisme tardif, du protectionnisme d’entreprise, du sabotage ou de la demande de rançon
Le code secret découvert mettait les trains en panne lorsqu’ils entraient dans des polygones géographiques autour des dépôts de cinq entreprises polonaises de maintenance ferroviaire, dont SPS, les mettait en panne après 1 million de km, les mettait en panne s’ils restaient immobiles pendant 10 jours, et incluait aussi une combinaison secrète de boutons permettant de désactiver la « panne »
J’adore la rétro-ingénierie de firmware, et là ça ressemble au Graal
Des trains, carrément ; j’aimerais que quelqu’un fasse fuiter les binaires
Tout le monde sait qu’il faut cacher ce genre de plaisanteries derrière des appels à un service web pour que les preuves ne soient pas découvertes directement côté client
C’est un doublon
Plus personne ne lit le site, maintenant ?
La discussion originale sur l’actualité a eu lieu il y a un peu plus d’une semaine : https://news.ycombinator.com/item?id=38530885
Il y a aussi la réponse ultérieure de l’entreprise
Polish train maker denies claims its software bricked competitor rolling stock https://news.ycombinator.com/item?id=38570654
Et en plus, pas plus tard qu’hier, il y a eu un doublon 404media qui a reçu beaucoup de votes
https://news.ycombinator.com/item?id=38628635
On ne peut pas se connecter tous les quelques jours, lire quelques trucs, voter pour ceux qu’on aime, puis revenir quelques jours plus tard ?
Je viens ici pour les commentaires
Je pars du principe que si quelque chose est suffisamment important à savoir, ce sera cité directement dans les commentaires
Je m’attendais à un malware du genre : « frappez trois fois à cette porte pour entrer, sinon la porte restera verrouillée à jamais »
Mais en réalité, c’était : « si le train est géographiquement stationné à la latitude et longitude d’un concurrent, on le transforme en brique »
Il y a de nombreuses façons d’ajouter une backdoor ou un easter egg amusant dans du code, et ils ont choisi une méthode d’abus vraiment lourde et flagrante
Il y avait une combinaison secrète de boutons sur la console du conducteur, et en la pressant le train était magiquement débloqué
Elle a maintenant été supprimée
La manière dont ils nient certaines accusations revient presque à supplier qu’on enquête davantage
Je suis polonais et j’ai déjà travaillé avec ce genre de personnes par le passé ; ce communiqué sent une manière de faire des affaires dont j’espérais qu’elle avait disparu
Mais il semble qu’elle subsiste encore ici et là