Le cours de l’action du constructeur ferroviaire Newag a chuté après les révélations des hackers.
Source : imago
Parfois, les trains s’arrêtent. Pas seulement en Allemagne, mais aussi en Pologne. Le chemin de fer de Basse-Silésie a été touché l’été dernier. Et les experts étaient perdus.
Les trains se trouvaient dans un atelier de réparation de trains appelé SPS pour la maintenance. Leurs techniciens ne parvenaient tout simplement pas à faire fonctionner les trains. « Les gens du SPS ont ensuite simplement cherché sur Google « hackers polonais » et sont tombés sur nous », rapporte Michal Kowalczyk, du nom du réseau Redford.
Lorsque le programme est appelé : annulation de train
Lui et ses collègues du groupe de hackers éthiques Dragon Sector affirment avoir trouvé un code d’activation non documenté qui pourrait être saisi via le bureau du conducteur du train. Mais ce n’était pas le seul problème, disent-ils. Dans l’ensemble, les pirates ont découvert plusieurs codes qui ont conduit à l’annulation du train.
Le mécanisme le plus populaire était le « le train ne circulera pas avant quelques jours », que nous avons trouvé sur presque tous les trains mis hors service.
Serge Bazanski
Les pirates ont également déclaré avoir trouvé un soi-disant « outil de géolocalisation ». Il est destiné à garantir que l’accès au contrôle du train ne soit pas accepté par le système si le train se trouve à certains endroits déterminés par les coordonnées GPS. Ces emplacements correspondaient aux positions des ateliers indépendants des constructeurs.
Les hackers de Dragon Sector affirment que de cette manière, les ateliers de maintenance non constructeurs sont identifiés via géolocalisation, précisément afin d’empêcher des ateliers autres que ceux agréés par Newag d’effectuer de tels travaux de maintenance et de réparation.
Qui a bloqué quoi ?
Le constructeur ferroviaire Newag nie cette affirmation : aucun logiciel de reconnaissance d’atelier n’a été installé. Newag se réserve le droit de poursuivre en justice pour diffamation et violation du droit d’auteur. Le constructeur a également informé les autorités polonaises responsables du trafic ferroviaire car le logiciel de contrôle des trains avait été perturbé. Le constructeur y voit un problème de sécurité.
Ce n’est pas seulement le transport ferroviaire qui doit faire face à de tels problèmes de sécurité et aux logiciels qui provoquent des pannes. Les commandes numériques des pompes dans les usines de distribution d’eau ou les ordinateurs de répartition de charge dans l’alimentation électrique sont également concernés.
Ce ne sont pas toujours les attaques numériques qui conduisent à des échecs. Parfois, les logiciels de contrôle provoquent des effets secondaires indésirables. Ou bien des composants ont été ajoutés à plusieurs reprises au logiciel de contrôle. D’une manière ou d’une autre, cela devient alors plus transparent et incontrôlable.
Le ministère de l’Intérieur réduit considérablement la sécurité des infrastructures critiques
Il ne faudra pas longtemps avant qu’une infrastructure critique tombe en panne. C’est pourquoi AG Kritis, une communauté de la société civile, s’occupe de ces problèmes.
Au cours des dernières années, les nerds ont fait de nombreuses suggestions sur la manière de mieux protéger les systèmes de contrôle du trafic et autres infrastructures critiques. Les experts techniques du Chaos Computer Club ont été d’autant plus choqués lorsque le projet de mise en œuvre de la directive européenne sur la sécurisation des infrastructures critiques a été publié par le ministère de l’Intérieur peu avant Noël.
Vos suggestions n’étaient plus là. « Nous sommes assez frustrés, notamment parce qu’il existe encore des exceptions dans certaines zones », déclare Johannes Rundfeldt d’AG Kritis, résumant la déception des pirates.
Quelques années de travail pour la poubelle
Les autorités de l’État, les gouvernements locaux, les secteurs de la finance et des assurances ainsi que le secteur des télécommunications sont largement exclus des mesures juridiques proposées pour protéger les infrastructures critiques.
L’évaluation des hackers lors du Chaos Communication Congress a été unanime : un projet de loi désastreux. Les nerds pensent que les politiciens pourraient utiliser de nombreux exemples pour expliquer les conséquences dévastatrices d’une protection inadéquate des entreprises de distribution d’eau, d’approvisionnement en énergie et de télécommunications au niveau 37c3.