1 points par GN⁺ 2024-12-28 | 1 commentaires | Partager sur WhatsApp
  • Alors que trois hackers ayant révélé au 37C3 le comportement de désactivation de trains Newag se retrouvent visés par des poursuites pénales et civiles, le Chaos Computer Club a lancé une collecte pour financer leur défense juridique
  • Les trains en question entraient d’eux-mêmes en veille profonde après être restés trop longtemps dans les géocoordonnées d’un concurrent ou d’un atelier de maintenance client, ou dans des conditions laissant penser à une réparation non enregistrée
  • Une fois désactivés, ces trains ne pouvaient être « secourus » qu’en faisant venir un technicien Newag, et les hackers ont confirmé ce comportement sans remplacer de pièces nécessitant une authentification
  • Après la plainte de Newag, une présentation de suivi au 38C3 a dévoilé la suite de l’affaire et une procédure judiciaire ayant jusqu’ici coûté environ 30 000 euros
  • Au 8 janvier 2025, le CCC avait reçu 31 088,89 euros via 529 virements, et l’excédent sera utilisé conformément à l’objet statutaire du CCC e.V.

Révélation du DRM des trains Newag et litige judiciaire

  • Le Chaos Computer Club (CCC) soutient trois hackers ayant révélé au 37C3 la manipulation de trains du constructeur ferroviaire polonais Newag
  • Le sujet a été traité dans la présentation du 37C3, que le CCC considère comme l’une des plus populaires du 37C3
  • Les trains entraient en veille profonde dans certaines conditions
    • lorsqu’ils restaient stationnés trop longtemps dans les géocoordonnées d’un concurrent ou d’un atelier de maintenance client
    • lorsqu’ils se retrouvaient dans des conditions laissant penser qu’ils avaient subi une réparation non enregistrée
  • Une fois ainsi désactivés, les trains ne pouvaient être « secourus » qu’en faisant venir un technicien Newag
  • Les hackers ont mis au jour ce comportement sans procéder à un remplacement potentiellement illégal de pièces du train nécessitant une authentification

Collecte du CCC et présentation de suivi au 38C3

  • Après ces révélations, Newag a poursuivi les hackers au pénal et au civil
  • Le CCC estime que ces poursuites visent à empêcher cette publication et les futures révélations liées à de telles « illegal instructions »
  • Les hackers ont présenté la procédure judiciaire au 38C3, avec un coût atteignant pour l’instant environ 30 000 euros
  • Le CCC demande d’effectuer les virements sur le compte bancaire général du Chaos Computer Club e.V. avec la mention Lokomotive
    • compte : DE41 2001 0020 0599 0902 01
    • BIC : PBNKDEFFXXX
  • Les dons dépassant les 30 000 euros nécessaires, les soldes restants si les frais juridiques réels sont plus faibles, ainsi que les frais de justice remboursés, seront utilisés conformément à l’objet statutaire du Chaos Computer Club e.V.
  • Le CCC précise également que le CCC e.V. n’est pas officiellement reconnu comme organisation à but non lucratif
  • La présentation de suivi se tiendra le vendredi 27 décembre 2024 au 38C3 à Hambourg, sera visible en live stream à partir de 23 h le jour même, puis publiée sur media.ccc.de
  • Mise à jour au 8 janvier 2025 : un total de 31 088,89 euros a été reçu via 529 virements bancaires

1 commentaires

 
GN⁺ 2024-12-28
Commentaires sur Hacker News
  • J’ai fait un don de 133,7 € et je suis tout à fait prêt à redonner s’il y a des frais juridiques supplémentaires
    Ce serait bien que d’autres fassent aussi un don généreux et le partagent dans ce fil
    Ce que fait Newag ici est absolument répugnant, et l’entreprise cherche à facturer 20 000 € par train pour « réactiver » des trains entretenus par des ateliers tiers
    Il ne faut surtout pas laisser un tel précédent s’installer
    Je recommande vivement de voir aussi la présentation précédente : https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...

    • D’après le programme, l’équipe devait commencer une présentation intitulée We've not been trained for this: life after the Newag DRM disclosure à 23:00 heure locale, soit environ 30 minutes plus tard au moment du commentaire
      Le direct était ici : https://streaming.media.ccc.de/38c3/eins/hls
      La présentation est terminée, et elle était excellente
      Programme : https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
    • Le précédent n’est peut-être pas un problème aussi grave que beaucoup l’imaginent
      Dans la majeure partie de l’Europe, ce n’est pas la jurisprudence qui domine, donc le droit lui-même compte davantage que les décisions antérieures sur des affaires similaires
    • Il faut se battre pour que le droit à la réparation soit garanti par la loi pour tous les produits
      Si on a acheté un produit, on devrait pouvoir accéder à tout son logiciel et le modifier
    • Je ne vois pas comment faire un don sur le site
      Je me demande où le don a été fait
  • On dirait que les fabricants de trains reprennent les méthodes de beaucoup d’entreprises actuelles
    La pratique consistant, pour un fabricant, à désactiver à distance un produit après l’achat pour une raison quelconque se répand de façon catastrophique dans de nombreuses catégories de produits
    Une fois qu’un produit a été vendu et payé, le fabricant ne devrait plus avoir le droit d’interférer avec la manière dont il est utilisé
    Il faut vraiment que ça cesse, et les régulateurs du monde entier dorment sur ce sujet

    • « Nous », en tant que groupe totalement homogène d’experts logiciels, pourrions peut-être y mettre fin, mais nous ne le faisons pas
    • Le copyright est à la racine du problème
      Ajouter encore plus de régulation peut être une solution, mais je doute que ce soit vraiment la direction que nous voulons prendre
    • Le puits sans fond de cupidité ouvert dans l’industrie logicielle par le modèle de l’abonnement attire aussi les fabricants de matériel
      En pratique, on n’achète plus vraiment des objets, on les loue
      Si le « marché » accepte ce genre d’absurdité, les régulateurs ne feront rien
    • Ce n’est pas propre à notre époque
      Mon premier PC avait déjà un autocollant garantie annulée si ouvert
  • Newag s’en est aussi pris à la députée Paulina Matysiak, présidente de l’équipe parlementaire sur l’exclusion des transports, et a demandé la levée de son immunité
    Elle enquête sur cette affaire depuis qu’elle a éclaté l’an dernier
    https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...

  • Je me souviens de cette histoire où des « hackers » avaient découvert qu’une entreprise ferroviaire désactivait des trains entretenus par une société de maintenance concurrente
    C’est triste de voir qu’ils se font poursuivre
    J’espère qu’ils réuniront assez d’argent pour imposer à Newag une procédure de divulgation de preuves douloureuse et approfondie

    • C’est dommage que l’entreprise n’ait pas été inculpée pour sabotage, voire pour trahison
      Attaquer des trains, même si ce sont les leurs, revient à attaquer une infrastructure critique nationale
  • Je me demande ce qu’est devenue cette vieille règle morale selon laquelle « si ta mère serait choquée quand tu lui expliques ce que tu fais, c’est que tu fais quelque chose de mal »
    Ce que fait Newag enfreint cette règle de manière très claire

    • Cette règle revient essentiellement à se demander : « est-ce que cela pourrait devenir politiquement embarrassant ? »
      Mais aujourd’hui, les grands acteurs monopolistiques ignorent simplement ce type d’effet
      Les médias manquent de moyens et sont corrompus, et les politiciens le sont aussi, au sens large
    • Comme suivre cette règle n’est pas rentable, l’instruction suprême semble être de maximiser l’argent
      Par tous les moyens possibles, légaux ou semi-légaux
    • On dit rarement toute la vérité à sa famille, et il y a toujours moyen de la tordre un peu pour se convaincre soi-même
  • Il y avait une discussion précédente au moment de la découverte initiale, et je suis surpris qu’on n’en ait pas davantage parlé : https://news.ycombinator.com/item?id=38893116

  • Ce serait bien que quelqu’un résume l’ensemble pour ceux qui ne connaissent pas toute l’affaire
    Je me demande pourquoi les gouvernements qui ont acheté ce genre de trains chevaux de Troie ne démolissent pas le fournisseur ferroviaire, au lieu de décerner des médailles aux hackers qui ont révélé l’affaire

    • Parce que les gouvernements sont très capitalistes et pensent que les grandes entreprises peuvent faire ce qu’elles veulent
  • C’est pratiquement une tendance universelle
    Si les constructeurs ne le font pas déjà, il y a de fortes chances qu’ils soient en train de le prévoir
    À mesure que diverses régions du monde se développent, des fabricants capables de proposer des machines moins chères surgissent un peu partout, et le fossé défensif des constructeurs historiques disparaît
    Les fabricants de biens durables s’accrochent désormais à leur prochain modèle économique : les services d’abonnement de maintenance et de support
    Les services de flotte de véhicules connectés de Ford gagnent en traction, et cela peut être très rentable dans le segment des véhicules utilitaires
    Une grande partie de cette évolution vient du fait que le vivier de main-d’œuvre s’affaiblit à cause du manque de personnel, de formation et d’expérience
    Cette affaire de trains relève clairement presque du crime, mais elle n’est pas si éloignée que ça de la vague de « progrès » actuelle

  • Malheureusement, ce genre de découverte va probablement servir de leçon à d’autres entreprises
    Autrement dit, elles vont chercher à rendre leurs propres méthodes avec dénégation plausible plus difficiles à découvrir, et à les dissimuler sous couvert de « sécurité »
    Big Tech joue déjà à ce jeu depuis un bon moment
    https://news.ycombinator.com/item?id=36926276
    https://news.ycombinator.com/item?id=24955071

  • Newag se comporte ici comme la mafia
    En mode : « Ce serait vraiment dommage que les trains s’arrêtent… non ? »
    Sans vouloir dire à la Pologne ce qu’elle doit faire, une issue satisfaisante serait d’identifier précisément qui a donné l’ordre de programmer les trains Newag de cette manière et de l’envoyer en prison
    Il faudrait alourdir la peine à chaque train équipé d’un tel logiciel qui serait découvert, et contraindre Newag à assurer la maintenance gratuite des trains concernés
    Si la Pologne veut montrer une ligne dure envers ceux qui escroquent le public pour gagner de l’argent, c’est probablement ce qu’il y a de mieux à faire
    Si elle veut dire qu’arnaquer le public polonais reste rentable même face à des preuves accablantes, libre à elle

    • Newag agit manifestement avec malveillance, dans une logique de sabotage et d’extorsion
      Dès qu’il s’agit de trains et de chemins de fer, on n’est plus seulement dans un problème commercial mais dans un enjeu stratégique de sécurité nationale
      C’est le genre de situation où l’on dirait : « Ce serait dommage qu’un train transportant des denrées périssables s’arrête en route et que la récolte pourrisse »
      Je ne vois pas dans quel pays la sécurité alimentaire n’affecterait pas la capacité du gouvernement à maintenir l’ordre
      Si cela avait été fait par un tiers autre qu’un prestataire de maintenance, il aurait été raisonnablement considéré comme une organisation terroriste, et ses membres devraient être traités comme tels
      Même s’ils prétendent que cela se limite à une petite fonctionnalité spécifique nécessitant un accord, ils ont introduit dans la chaîne d’approvisionnement une vulnérabilité non essentielle au fonctionnement normal, puis l’ont conçue comme si elle l’était
      À tout le moins, même sans l’exécuter eux-mêmes directement, cela ouvre la voie à ce que de tels groupes puissent prospérer