Volkswagen bloque Home Assistant en exigeant une client assertion

 (github.com/robinostlund)
1 points par GN⁺ 14 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Issue #967 est toujours ouverte, et les éléments associés #971 ainsi que la dernière release v5.4.7 y sont mentionnés, mais les échanges fournis ne permettent pas de confirmer si le problème a été définitivement résolu
  • Le signalement initial indique qu’après l’expiration de l’authentification homeassistant-volkswagencarnet de Home Assistant, il est devenu impossible de se reconnecter avec l’e-mail et le mot de passe, alors que la connexion via l’application Android et le navigateur continue de fonctionner
  • La procédure de reproduction consiste à saisir l’e-mail et le mot de passe, et le message d’erreur affiché est Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.
  • Un participant estime qu’il ne s’agit pas d’un bug mais de la conséquence d’une désactivation permanente de l’API par Volkswagen ; un autre résume ensuite qu’il existe une API officielle payante et une API officieuse gratuite, cette dernière ne fonctionnant désormais plus
  • Certains utilisateurs rapportent que la connexion web reste possible mais que l’API et l’application ne fonctionnent pas, ou que l’application répond très lentement ; un autre indique que la connexion à l’application Android fonctionne, mais qu’après redémarrage de Home Assistant le même problème réapparaît
  • Un retour indique que CarConnectivity-plugin-mqtt fonctionne, mais une objection souligne qu’il utilise la même API, de sorte que les configurations existantes ne tiendraient que jusqu’à l’expiration du token et que les nouveaux utilisateurs pourraient ne pas pouvoir l’utiliser
  • Un autre utilisateur rapporte toutefois avoir récupéré des données avec de nouveaux tokens d’authentification dès sa première utilisation de CarConnectivity-plugin-mqtt, si bien que la viabilité de cette alternative n’est pas tranchée dans la discussion
  • Un changement lié a été partagé sur le forum Facebook Skoda EV, et un participant n’ayant vu aucune annonce officielle estime qu’il pourrait affecter l’ensemble des marques du groupe VAG
  • Parmi les alternatives évoquées figurent Smartcar et Tibber ; pour Smartcar, les flux de données véhicule et l’application du RGPD ont été discutés, et un utilisateur dit l’avoir fait « fonctionner pour l’instant » en partageant un commentaire sur wbyoung/smartcar#110
  • Tibber fonctionnerait avec l’intégration Tibber native de Home Assistant selon certains retours, mais des inquiétudes sont exprimées : si Tibber paie l’accès à une API enterprise, il pourrait ne pas tolérer longtemps l’afflux de nouveaux utilisateurs non payants
  • Un participant interprète une communication de Skoda comme signifiant non pas qu’il faut payer, mais que les utilisateurs de l’API doivent s’enregistrer auprès de Volkswagen ; il demande si le projet a été enregistré, et le mainteneur répond qu’il ne l’a pas fait lui-même car il ne possède plus de véhicule Volkswagen
  • Le mainteneur estime que l’enregistrement pourrait nécessiter des clés propres à chaque utilisateur et demande de l’aide pour l’enquête et la maintenance du projet, laissant la résolution dépendre du soutien de la communauté

À lire aussi

1 commentaires

 
GN⁺ 14 시간 전
Commentaires sur Hacker News

  • J’ai l’impression que l’EU Data Act a justement été créé pour empêcher ce genre de situation, en particulier les articles 4 et 5 : https://digital-strategy.ec.europa.eu/en/policies/data-act
    Il y est indiqué que si l’utilisateur ne peut pas accéder directement aux données d’un produit connecté ou d’un service connexe, le détenteur des données doit les rendre accessibles sans délai, d’une manière simple, sécurisée, gratuite, dans un format structuré, couramment utilisé et lisible par machine, et, lorsque c’est nécessaire et techniquement possible, de façon continue/en temps réel
    Il existe aussi des orientations spécifiques de l’UE sur les données des véhicules : https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • Oui, cela semble relever d’un domaine où le Data Act pourrait permettre de récupérer le droit d’accès
      Cela dit, contrairement à l’article 79 du RGPD, il ne semble pas y avoir de mécanisme permettant de réclamer directement ce droit d’accès à Volkswagen : https://gdpr-info.eu/art-79-gdpr/
      Il n’y a pas beaucoup d’articles sur les modalités d’application, donc j’ai regardé le texte lui-même, et l’article 39 semble indiquer qu’il faut d’abord déposer une plainte auprès de l’autorité compétente désignée par l’État membre de résidence : https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      Si cette autorité ne prend aucune mesure, on obtient alors, selon le droit national, le droit à un recours juridictionnel effectif ou à un examen par un organisme indépendant doté de l’expertise nécessaire
      Mais dans ce cas, il semble que la procédure vise non pas l’entreprise, mais cette autorité compétente, et l’article 39(3) le rend assez clair
      J’aimerais me tromper
      On pourrait peut-être appliquer un raisonnement du type de l’arrêt Muñoz vs. Superior Fruiticola, selon lequel « cette obligation doit pouvoir être exécutée par une procédure civile », mais je n’en suis pas certain, et cela reste bien plus faible que la voie explicitement prévue par le RGPD : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Si quelqu’un a de meilleures sources sur la manière dont un particulier peut faire appliquer le Data Act, ça m’intéresse
    • Volkswagen a aussi un site EU Data Act : https://drivesomethinggreater.com/eu-data-act

  • Pas mal d’autres constructeurs ont fait la même chose
    J’utilise une bibliothèque Polestar rétroconçue pour récupérer l’état de charge, mais comme je ne peux pas croire qu’ils ne finiront pas par bloquer ça eux aussi, je suis en train de fabriquer un sniffer de bus CAN qui fera la même chose
    Je doute que ce soit une source de revenus si importante, et je ne comprends pas pourquoi ils font ça alors que ça met en colère les personnes les plus impliquées dans le produit

    • Certaines trames CAN intègrent déjà une authentification cryptographique pour empêcher toute modification
      Le chiffrement complet semble n’être plus qu’une question de temps
      À mon avis, c’est surtout un problème d’aversion au risque en entreprise
      Un service rédige une évaluation des risques listant des risques mineurs, par exemple le piratage du backend d’une appli tierce, ou des gros titres dans la presse locale du type « un développeur amateur pirate sa voiture pour la connecter à Home Assistant »
      La liste circule, aucun manager intermédiaire ne veut en porter la responsabilité, et comme il n’existe aucun cas d’usage positif officiellement validé, des contre-mesures sévères sont imaginées puis mises en œuvre une à une
    • Oui, quelle que soit la catégorie, la première entreprise à adopter pleinement Home Assistant pourrait en tirer un vrai bénéfice en ventes ou en marketing
      IKEA en est sans doute un exemple plutôt correct
    • C’est un contraste intéressant avec BSH, une entreprise allemande
      Côté électroménager Bosch et Siemens, ils semblent avoir considéré l’ouverture de la plateforme Home Connect comme faisant partie du respect des règles européennes sur la transparence et la portabilité des données
    • La capacité d’interagir avec une voiture entre fondamentalement en conflit avec l’orientation réglementaire actuelle qui pousse vers le « tout chiffrer »
      Il suffit de regarder ce qui se fait autour de RISC-V dans l’automobile ou les exigences de l’EU Cyber Resilience Act
    • Il existe un produit open source qui pourrait convenir : WiCAN : https://www.meatpi.com/products/wican-pro

  • BYD a envoyé une demande DMCA à l’ensemble de mon dépôt sur la connectivité de véhicules : https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    C’est vraiment dommage de voir des constructeurs verrouiller des voitures achetées à prix premium et mener une croisade contre l’open source

    • Tu devrais peut-être envoyer un e-mail à Louis Rossmann, il a déjà aidé des gens dans des situations similaires
    • Ça se lit comme : « on n’a pas commis d’illégalité, mais on va faire en sorte que ça en ait l’air »
      C’est comme laisser la clé d’un lieu public sous le paillasson avec un mot disant « clé ici », puis se plaindre qu’on l’utilise pour entrer dans un espace déjà public
    • Je me demande si cela a été déplacé ailleurs
      J’ai vérifié sur Codeberg, mais ce n’y était pas
    • S’ils prétendent qu’un chiffrement a été cassé, alors dans ce cas la DMCA pourrait être pertinente
      En revanche, s’il n’existe aucun moyen officiel d’obtenir un jeton d’authentification ni de connecter la voiture à Home Assistant, alors il faut considérer cela comme une défaillance du service
      r/opensource_legalaid
      Répondons et exigeons l’accès aux données

  • J’adore vraiment ce commentaire qui traduit le langage d’entreprise en langage humain : https://github.com/robinostlund/homeassistant-volkswagencarn...
    Pourquoi se tireraient-ils eux-mêmes une balle dans le pied ? Est-ce vraiment une source de revenus significative ? Est-ce que ça améliore vraiment la sécurité ?

    • Ils ne se tirent pas une balle dans le pied
      La grande majorité des utilisateurs ne s’en soucie pas, et un manager intermédiaire chez MySkoda peut annoncer que « nous avons bloqué un gros risque de sécurité et renvoyé à leur place de précieuses données ~~de bétail~~ d’utilisateurs »
    • J’ai vu directement le trafic généré par Home Assistant, et le modèle d’usage est inversé
      L’infrastructure, les serveurs et la bande passante coûtent de l’argent
      Pour le meilleur ou pour le pire, la plupart des appareils n’ont pas d’interface locale
      Ces 1 à 2 dernières années, quelques appareils Matter sont apparus, mais toutes les données et fonctionnalités ne sont pas exposées via Matter, et les anciens appareils ont peu de chances d’être mis à jour pour le supporter
      En plus, HA est une application exécutée en local et centrée sur le local, donc sans développement supplémentaire côté OEM, ça s’accorde mal avec un système cloud d’API et de transmission de données
      Enfin, d’après des calculs faits sur les systèmes internes, sur 24 heures le trafic HA représentait environ 20 % du total alors que la part des utilisateurs restait sous les 1 %
      Parce que chaque instance appelle directement l’API toutes les quelques minutes, voire plus souvent
      Si un dirigeant entend ce chiffre, il demandera probablement de bloquer
      Indépendamment du bien-fondé de la chose, c’est comme ça que les gens réagissent
    • Concernant l’idée d’une source de revenus supplémentaire, auparavant aussi il fallait un abonnement WeConnect pour accéder aux données VW
      Il fallait payer 100 euros par an, mais à l’époque on pouvait quand même accéder aux mêmes données via d’autres applis ou automatisations
      Désormais, même en payant déjà l’abonnement, il faut obligatoirement passer par WeConnect et ses partenaires pour accéder aux mêmes données
    • Parce que les gens achèteront quand même les voitures
      L’utilisateur moyen n’accorde guère d’importance à la vie privée, et on nous a conditionnés à devenir insensibles
      Oui, c’est bien une vraie source de revenus, et non, ça n’améliore pas la sécurité
    • La plupart des dirigeants prennent des décisions commercialement défavorables pour gagner plus de pouvoir
      C’est presque une loi du business : les dirigeants font passer leur propre pouvoir avant la marge de l’entreprise
      C’est une des raisons pour lesquelles l’externalisation du développement est restée populaire alors qu’elle ne réduisait pas les coûts et s’est révélée commercialement désastreuse
      Dans cette relation, les dirigeants étaient bien davantage aux commandes qu’en travaillant avec nous
      Certains disent que le segment de consommateurs Home Assistant « n’a pas d’importance », mais en réalité il compte
      Au fond, c’est un arbitrage entre le gain visible qu’est le contrôle des données et la perte moins visible qu’est la disparition de la sympathie des consommateurs
      Une entreprise n’est pas un être dont le seul but est de maximiser le profit à n’importe quel prix
      Les actionnaires et les dirigeants ne forment pas un seul et même corps ; ils ont des intérêts différents, parfois fortement divergents

  • Client Assertion est une fonctionnalité OAuth, mais ce n’est absolument pas de cela qu’il est question ici
    C’est compréhensible de s’y tromper, mais cela n’apparaît que dans le titre HN, pas sur la page d’origine

    • Désormais, l’appli exige l’usage d’une security assertion du client
      Dans ce cas, sur Android c’est Play Protect qui s’en charge, et sur iOS c’est quelque chose de leur côté qui fait le travail
    • Client attestation est peut-être le terme le plus exact

  • Google semble aussi avoir une part de responsabilité là-dedans : https://github.com/robinostlund/homeassistant-volkswagencarn...

    • Oui, Google aide les fournisseurs à bloquer l’accès aux API à l’aide de l’attestation matérielle
      J’ai récemment buté sur le même mur en essayant d’accéder directement à l’API de MyQ, le système d’ouverture de ma porte de garage
      Si le fait que Google permette ce genre de pratiques ne viole en rien le droit européen de la concurrence, ce serait étonnant

  • Vu le chaos récent dans la chaîne d’approvisionnement logicielle, connecter quoi que ce soit donne l’impression de jouer à la roulette russe
    C’est quelqu’un qui utilise Home Assistant depuis des années qui le dit
    Surtout qu’en ce moment, même si mon véhicule électrique n’est pas une Volkswagen, le connecter à HA ressemble à une assez mauvaise idée
    Il y a trois mois à peine, cela aurait pourtant clairement été pratique

  • Je fais de la maison connectée depuis longtemps, et c’est l’une des raisons pour lesquelles j’ai quitté Home Assistant
    C’est un projet très impressionnant et fonctionnel, mais il dépend entièrement du fait que les entreprises laissent leurs API ouvertes en permanence, ou, plus souvent, qu’elles ne corrigent pas comme par magie ce qui permet d’utiliser des API rétroconçues
    Malheureusement, la tendance de ces dernières années n’a pas été favorable à HA
    Tesla, Ring, MyQ, Ecobee et d’autres ont fermé leurs API, en invoquant généralement des « préoccupations de sécurité »
    Il y a une part de justification, mais à mon avis, c’est surtout la peur de perdre des revenus d’abonnement qui les motive
    Tesla fait payer très cher les applications OAuth officielles
    Cela dit, pour être juste, les anciens hacks reposaient aussi sur des applications OAuth compromises qu’ils avaient laissées traîner sans les corriger
    Ecobee a caché HomeKit et certaines fonctionnalités derrière l’abonnement Security+, ce qui est presque une blague vu la faiblesse de leur plateforme de sécurité
    MyQ l’a clairement fait pour protéger son abonnement à 45 dollars par an, et au final ils s’en sont eux-mêmes pénalisés puisque RATGDO est bien meilleur
    Ring fonctionne encore pour une raison ou une autre, mais à cause de la crainte qu’ils coupent l’API, la prise en charge de HomeKit Secure Video est très instable
    Pour quelqu’un comme moi, qui utilisait surtout HA pour l’intégration HomeKit, dépendre de HA est une bombe à retardement
    En déménageant dans une nouvelle maison, je me suis concentré sur des produits nativement compatibles avec HomeKit, sans contournement, et du coup ma maison connectée fonctionne bien mieux aujourd’hui

    • Ça ressemble moins à une raison de quitter Home Assistant qu’à une raison de ne pas acheter de produits fermés et cloud-only à connecter à Home Assistant
    • C’est passer de la poêle au feu
      J’ai moi aussi commencé l’automatisation de la maison de cette manière, et une approche centrée sur HomeKit est plutôt correcte
      La prochaine étape que j’envisage, c’est une configuration où HA, avec des appareils 100 % en contrôle local, fait le pont vers HomeKit
      Les appareils HomeKit-only ont souvent une stabilité Wi‑Fi catastrophique, et j’ai l’impression qu’il faut désormais surveiller davantage la manière dont Matter/Thread évolue
      Certains se plaignent de Zigbee/Z-Wave, mais en moyenne c’était bien meilleur que HomeKit basé sur le Wi‑Fi
    • J’ai plus de 50 entités dans HA, et aucune entreprise au monde ne peut en arrêter une seule
      Honnêtement, parmi tout ce qui a été mentionné, HA est ce qui se rapproche le moins d’une bombe à retardement

  • Ma prochaine voiture ne sera clairement ni une Sköda ni une Volkswagen

    • Tu envisages quelle marque, alors ?

  • L’attestation à distance devrait être rendue illégale, que le certificat racine soit fourni par Google, Apple ou GrapheneOS
    À l’heure actuelle, le seul usage de cette technologie est d’empêcher les gens de faire ce qu’ils veulent avec les appareils qu’ils possèdent et de rendre l’interopérabilité cryptographiquement impossible
    C’est anticoncurrentiel, donc ça devrait simplement être illégal

    • Il est tout à fait possible que, d’ici 5 à 10 ans, on voie arriver des ordinateurs portables et des smartphones utilisant des processeurs et des systèmes d’exploitation ouverts, avec une expérience utilisateur et un OS comparables, voire supérieurs, aux produits propriétaires
      Mais si l’attestation à distance se généralise davantage, il pourrait devenir cryptographiquement difficile d’utiliser n’importe quel service, ce qui rendrait ces appareils pratiquement inutiles pour le consommateur moyen
    • C’est déjà illégal dans l’UE au titre de l’EU Data Act
      Les dirigeants de VW sont juste des criminels qui s’en moquent, parce qu’ils pensent pouvoir encore contourner la loi comme avant
    • Ce qu’il faut vraiment chercher, ce sont des services ou produits sans API
      Autrement dit, ils doivent fonctionner sans cloud
      Sinon, il faut choisir des produits ou des entreprises qui fournissent explicitement un accès API à leur produit
    • Affirmer qu’il n’existe absolument aucun usage légitime de l’attestation à distance, c’est simplement absurde
      Ça peut servir quand je déploie un appareil que je possède dans un environnement où des personnes non souhaitées peuvent y avoir un accès physique et en extraire des identifiants
      C’est aussi nécessaire quand on veut que les gens n’accèdent à des informations sensibles de l’entreprise que depuis un appareil fourni par l’entreprise, sans pouvoir copier librement ailleurs les données auxquelles ils ont accès
      C’est également utile pour éviter qu’un téléphone utilisé comme terminal de paiement par carte affiche un montant à l’écran mais en autorise en réalité un autre
      Je suis plutôt fortement favorable à l’idée que tout ce que je possède devrait fournir les données qu’il génère dans un format ouvert, mais dire que l’attestation n’a aucun usage légitime ne correspond pas à la réalité