Compilation du dim., 04 f�vr. 2024, liste linuxfr-news Sommaire :
1. [Lettre LinuxFr.org] Une balade au FOSDEM - [email protected] 2. [Lettre LinuxFr.org] Pratiques dans l'industrie ferroviaire : un train de retard… - [email protected]
--- Begin Message ---Une balade au FOSDEM
Ces 3 et 4 février 2024 ont lieu à Bruxelles le FOSDEM, Free and Open Source Software Developers' European Meeting ou Réunion européenne des développeurs de logiciels libres et open source, une conférence ayant lieu tous les ans à l’Université Libre de Bruxelles (la bien nommée) depuis 2001.
Lors de l’édition 2023 du FOSDEM j’avais lu ce Tweet sur le réseau social qui s’appelait encore Twitter:
Plus de 20 [ans] que l’ULB accueille le #FOSDEM, évènements majeurs de la communauté opensource.
Mais ce n’est pas assez « tape à l'œil » pour qu’un média belge en parle un peu ;(Ce compte était publié par le compte Bad Service Belgium qui se spécialise dans le partage d’expérience de mauvais service en Belgique.
Ça tombe bien, quand bien même LinuxFr.org n’est peut-être pas un « média belge », j’y étais en 2023, et à l’occasion de l’édition 2024 du FOSDEM je vous propose donc une présentation de ce rassemblement incontournable, illustrée de mes photos de l’année dernière.
- lien nᵒ 1 : Le site du FOSDEM
- lien nᵒ 2 : Le programme de l’édition 2024
Sommaire
- De la difficulté de voir les événements liés aux logiciels libres être couverts par la Presse
- Mais qu’est-ce que le FOSDEM ?
- Un évènement populaire
- Les conférences
- Suivre les conférences en ligne
- Les stands
- Les visiteurs
- Où est la Presse ?
- À propos des photos
De la difficulté de voir les événements liés aux logiciels libres être couverts par la Presse
Le constat de Bad Service Belgium ne s’applique pas seulement à la Belgique.
En décembre dernier Stéphane Bortzmeyer a partagé dans la rubrique liens de LinuxFr.org la conférence de Loris Guémart intitulée « Les journalistes se moquent des logiciels libres, je vous explique pourquoi ». Cette conférence avait eu lieu lors du Forum PHP organisé par l’AFUP. Ce journaliste d’Arrêt sur images avait commencé sa conférence par questionner pourquoi il n’y pas de journalistes couvrant l’évènement.
En 2022 lors du salon Open Source Experience (OSXP), en discutant avec Nÿco sur le stand LinuxFr.org, j’avais émis l’idée d’aller au FOSDEM en 2023 pour faire un reportage photo comme celui que j’avais fait pour les Journées Méditerranéennes du Logiciel Libres et de le la démopartie Alchimie en 2013.
Car un événement de plus de 20 ans d’âge réunissant plus de 8000 spécialistes à la pointe de la technologie ça mérite l’intérêt et le détour.
Mais qu’est-ce que le FOSDEM ?
Créé à l’initiative de Raphaël Bauduin en 2001 sous le nom de OSDEM pour Open Source Software Developers' European Meeting (le F de Free fut ajouté plus tard), le FOSDEM rassemble chaque année des milliers de développeurs de logiciels libres du monde entier, aussi bien utilisateurs, contributeurs bénévoles, ou salariés d’entreprises travaillant dans ce domaine ou ayant un intérêt dans le logiciel libre, et probablement aussi certains de leurs employeurs.
L’événement se passe sur deux jours, et accueille une grande quantité de conférences sur des sujets divers et variés en rapport avec le logiciel libre.
Une conférence au FOSDEM
Se faufiler parmi la foule pour prendre cette photo ne fut pas chose aisée…
L’évènement reçoit régulièrement pour ses conférences des personnes renommées comme Larry Lessig et Alan Cox en 2003 et 2005, Theo de Raadt, Jimmy Wales et Richard Stallman en 2005, Keith Packard et Miguel de Icaza en 2007, Andrew Tanenbaum et Greg Kroah-Hartman en 2008.
Vous êtes journaliste et vous ne connaissez pas ces noms ? C’est le moment de commencer à potasser le sujet. Cette liste est incomplète et s’arrête en 2008 ? Je vous invite à écrire les articles qui permettront de compléter et sourcer la page Wikipédia. 😉️
Mais au-delà de quelques personnalités qu’on peut parfois y croiser, le FOSDEM est un événement très populaire qui rassemble beaucoup, mais vraiment beaucoup de monde.
D’abondantes conférences ont lieu en simultané toute la journée, et de nombreux stands sont présents un peu partout pour des présentations plus informelles, notamment pour les associations.
C’est l’occasion d’acheter quelques goodies et de se servir en autocollants à apposer sur son laptop de hacker, mais surtout de faire des rencontres. Lors de ma visite en 2023 j’ai par exemple eu l’occasion de trinquer à la buvette avec Karol Herbst de chez Red Hat (l’auteur de RustiCL, la nouvelle implémentation d’OpenCL en Rust de Mesa).
libriste + ordinateur portable + autocollants == ❤️
Repartir du FOSDEM avec un ordinateur aussi bien décoré que celui du stand FreeBSD, c’est un projet de vie tout à fait honorable…
Un évènement populaire
Je me suis rendu compte à mon retour en 2023 que mes photos ne sauront entièrement retransmettre le sentiment que provoque l’impressionnante foule que rassemble le FOSDEM. Dans mon exercice photographique, je me suis surtout concentré sur des tableaux illustrant la vie au FOSDEM avec un cadrage plus personnel, ce qui rend moins évident cet aspect de masse humaine très impressionnante.
Mes photos de la conférence de clôture 2023 qui se déroule alors sans concurrence donne un certain aperçu du nombre de personnes présentes, mais humainement, je pense que le plus fort sentiment pour un visiteur sur place est nourri à midi lorsque tout le monde fait la queue aux différents food trucks.
Certains viennent en famille
PostgreSQL et patin-couffin…
Cette année 2024 voit l’ouverture d’un FOSDEM junior avec des ateliers pour les plus-jeunes, de 7 à 17 ans ! Contrairement aux ateliers des adultes, les ateliers pour les jeunes sont sur inscription.
Quelqu’un qui participe au FOSDEM se trouvera un hôtel à proximité et s’achetera une carte du tramway local. J’ai remarqué que le matin du deuxième jour, les suggestions Youtube sur la télé de mon hôtel avaient complètement changé en comparaison avec celles de la veille : Youtube me proposait désormais des vidéos de développement avec Rust. 😁️
Le primo-visiteur du FOSDEM aura aussi besoin d’un smartphone avec un grand écran et une bonne batterie (qu’il n’est pas forcément évident de recharger sur place). En effet, la grande taille du campus, le nombre considérable de salles, le nombre de conférences impressionnant, et la quantité de monde toute aussi superlative font qu’il vaut mieux compter sur sa poche pour avoir un plan des lieux à tout instant, ainsi que le programme complet. En fait ce n’est pas absurde pour un nouveau venu de venir avec un dossier imprimé sous le bras, plus fiable qu’une zappette au lithium.
La restauration est assurée par des restaurateurs ambulants locaux et leur camion-fricadelle, camion-frites, camion-pizza, camion-pâtes, et camion-gauffres, sans oublier le chocolat, avec les gauffres.
Les food-trucks
Bon par contre, j’ai testé pour vous, on a beau être en Belgique où la langue française est une des langues nationales, si mon hôtel parlait français, aucun des restaurateurs ambulants n’a honoré des simples commandes (frites, pizza…) en français. Même à Bruxelles, l’anglais est obligatoire pour manger sur le lieu de l’évènement. Ah, et la moutarde n’existe pas. Vous aurez droit à une variété de sauces pour vos frites, mais la moutarde y est totalement inconnue ! 😲️
Frites et fricadelle Pizza Un « vrai influenceur » prend en photo ce qu’il mange n’est-ce pas ? J’attends encore ma moutarde…
Une buvette tenue par les volontaires est disponible dans les locaux. Oubliez les distributeurs automatiques que vous pourriez trouver dans les couloirs, ils ne seront jamais en mesure d’encaisser le choc d’une telle population, de toute façon.
La buvette est aussi le lieu parfait pour le geek qui veut se poser avec son ordinateur portable (là encore, avec une bonne batterie) pour geeker en toute convivialité, accompagné d’une gaufre au chocolat et d’un sympathique petit rafraîchissement à bulles.
La buvette Avec ses milliers de participants, le FOSDEM ne tournerait pas sans son armée de bénévoles qui font un travail tout aussi précieux que discret. J’en ai compté environ 160 pour 2023.
L’organisation et ses volontaires
L’équipe du FOSDEM veille au bon déroulement de l’évènement.
Au-delà de ses conférences et de ses stands chamarrés, le FOSDEM est donc aussi l’occasion d’une virée en Belgique pour y manger des frites, des gaufres et boire de la bière. Si vous n’avez pas une conférence qui vous attend très tôt le lendemain matin, c’est l’occasion de vous promener en centre-ville dans la soirée.
Les conférences
Le FOSDEM a 35 salles de conférences, en 2023 il y avait 787 conférenciers. En 2024 ce sont 946 conférenciers qui sont attendus ! Pour deux jours seulement de conférences !
Il faut donc compter qu’au plus fort de la journée, à chaque instant, se déroulent plus d’une trentaine de conférences en simultané. Une fois qu’une salle est pleine, on n’entre plus. C’est l’usine.
Quelques photos panoramiques… Mmh, ça en fait du monde…
Les salles de conférences vont de petites salles de cours à l’atmosphère intimiste aux grands amphis qui peuvent nous faire regretter de ne pas avoir apporté une jumelles.
Conférences sur conférences
Le découpage en de très nombreuses conférences permettent tout de même quelques échanges de questions/réponses à la fin de celles-ci, malgré le nombre conséquent de visiteurs.
Questions/Réponses
Suivre les conférences en ligne
Toutes les conférences du FOSDEM sont captées, diffusées, et enregistrées !
Il est donc possible d’assister aux conférences en ligne, y compris les archives des années précédentes.
En 2023, le FOSDEM avait diffusés 35 flux vidéo simultanés (une par salle j’imagine), avec 19 630 spectateurs uniques et 800 spectateurs concurrents. Ça fait plus de 300 heures de vidéo pour un seul FOSDEM !
Captation des conférences
Des développeurs Microsoft viennent au FOSDEM pour nous parler de Rust, certains douteront-ils encore que Rust saylemal?
Les stands
Les couloirs de l’université sont le lieu des stands, et cette partie est similaire à ce qu’on peut trouver à d’autres rassemblements d’utilisateurs et développeurs de logiciel libres.
Stands en tout genre Stands en tout genre On y trouve aussi bien des stands d’associations que d’entreprises et cela reflète bien la dynamique libre de collaboration. Prenez l’expérience OSXP et imaginez les entreprises avec la même ambiance que le village associatif, ça donne les couloirs du FOSDEM.
Stands en tout genre
J’y ai retrouvé le stand Debian que j’avais vu à l’OSXP quelques mois plus tôt, ainsi que celui de VLC avec sa roue de la fortune dont le succès n’était égalé que par l’incroyable salopette orange de son animatrice.
Stands en tout genre
Au détour de ces stands lors de ma visite en 2023 j’ai eu une conversation très sympathique avec les tenanciers du stand de Chamillo, un logiciel libre d’ « e-learning ».
Stands en tout genre
Les visiteurs
Le bain de foule du FOSDEM est aussi l’occasion d’une analyse sociologique de sa population, entre les officiels de certaines entreprises, les invités de marque, les geeks barbus dont la taille de la pilosité reflète peut-être la profondeur de leur expertise (ou pas), etc.
Rust saymal… Google c’était mieux avant ! Quelques affichages sauvages facétieux…
On peut aussi sonder certaines tendances parmi cette population. Prenons par exemple deux catégories d’utilisateurs de logiciel libre : le geek enthousiaste à la pointe de la technologie et prêt à sauter sur la première nouveauté d’où qu’elle vienne, et le prudent et circonspect par défaut, plus porté sur les aspects de souveraineté, de vie privée, etc.
On peut supposer que la communauté des utilisateurs et développeurs des logiciels libres soit plus favorable à la seconde population que d’autres communautés, par exemple on aura probablement plus de chances de trouver un partisan de l’autohébergement chez un libriste linuxien que chez un membre d’un fanclub Apple.
Mais la population « circonspecte » est-elle majoritaire dans la population libriste ? Il y a une dizaine d’années certains remarquaient l’omniprésence de Macbooks à certaines conventions de libristes, cette mode semble être passée et j’ai observé un grand retour des Thinkpads quoi que j’ai pu entendre des intentions d’achat de machines Apple silicon pour jouer avec Asahi Linux.
Un autre aspect cher à certains libristes attachés à une certaine philosphie Unix est : un outil pour une tâche. Je me suis pourtant trouvé un peu comme un OVNI à séparer les fonctions téléphone, appareil photo, et carte bancaire…
C’est pour ces deux raisons que j’ai trouvé particulièrement intéressante et inattendue l’observation sociale suivante : le constat que l’écrasante majorité des participants au FOSDEM paient leurs consommations avec leur téléphone. Cela vous surprend-il ? N’hésitez pas à partager votre analyse ou vos explications en commentaire ! 😉️
Où est la Presse ?
Comme indiqué en introduction, en 2023 la conférence de clôture était donc donné par Steve Crawford de la NASA, ce qui pouvait susciter un article facile pour la presse non-spécialisée. On pouvait traduire le début de l’annonce de cette conférence ainsi : « Le logiciel a été le fil conducteur de toutes les grandes réalisations de la NASA, de l’alunissage aux images les plus profondes de notre univers. Aujourd’hui, la NASA s’appuie sur les logiciels libres, y contribue et les publie pour faire avancer ses missions scientifiques. ». Sans forcément entrer dans des détails cryptiques, il était facile de faire quelques publications avec un joli titre accrocheur.
La conférence de clôture du FOSDEM en 2023
La NASA au FOSDEM en 2023 Dans les étoiles
La conférence de clôture du FOSDEM en 2023
Cette année 2024, on notera la conférence « Where have the women of tech history gone? » qu’on doit pouvoir traduire par « Où sont passées les femmes de l’histoire technologique ? », un sujet accessible à de très nombreux médias, et tout à fait dans l’air du temps pour vendre du papier.
À propos des photos
Ces photos sont un peu mes cartes postales envoyées au lectorat de LinuxFr.org, avec un service postal soumis aux aléas de mes (in)disponibilités 😜️.
Souvenirs du FOSDEM
Les photos de ce reportage sont distribuées sous license libre CC By 4.0 (Creative Commons Attribution). L’album complet peut être téléchargé ici. On y trouvera quelques photos que je n’ai pas mises ici pour ne pas noyer le reportage, et quelques photos un peu redondantes mais dont le point de vue ou certains aspects peuvent susciter un certain intérêt (spécialement si certains s’y reconnaissent !).
Ceux qui souhaiteraient faire un don libre pour les photos peuvent le faire ici.
Ce reportage photographique a été réalisé avec les logiciels libres suivants :
- Darktable (développement photo numérique) ;
- Hugin (assemblage de photo panoramique) ;
- Magic Lantern (extension pour micrologiciel d’appareil photo) ;
- GpsPrune (géolocalisation de photos) ;
- Ghostwriter (édition de texte au format Markdown).
Et si vous êtes au FOSDEM cette année, n’hésitez pas à venir raconter votre aventure ! 👋️
Commentaires : voir le flux Atom ouvrir dans le navigateur
--- End Message ---
--- Begin Message ---Pratiques dans l'industrie ferroviaire : un train de retard…
Une histoire, comme il en est tant, hélas, de pratiques anticoncurrentielles dans l’industrie. Oubliez les imprimantes et les tracteurs, cette fois-ci, nous passons à une étape supérieure : les trains. Oui, oui, les trains, vous avez bien lu.
Si les faits se confirment, un constructeur de train polonais aurait été pris en flagrant délit de pratiques anti-concurrentielles.
Sommaire
Les faits
Au printemps 2022, le premier des onze trains du modèle Newag Impuls 45WE, exploités par la compagnie régionale Koleje Dolnośląskie en Basse-Silésie, est en fin de vie. Leur maintenance est gérée par la société Serwis Pojazdów Szynowych, (SPS), qui a remporté l’appel d’offre, pour un prix total d’environ 5,1 millions d’euros (22 millions de złoty). Cette inspection est obligatoire, après un million de kilomètres. Le constructeur à l’origine des trains, la société Newag, a également participé à l’appel d’offres, mais leur prix était supérieur d’environ 696 000 € (3 millions de złoty).
L’entretien d’un train est une affaire complexe : chaque pièce doit être démontée et envoyée aux fabricants concernés pour ensuite être ré-assemblées à leur retour. SPS effectue l’inspection conformément au manuel fourni, d’environ vingt mille pages. Une fois le premier train remonté, l’ordinateur de bord indique le succès de l’opération et la conformité de l’ensemble. Cependant, les onduleurs ne fournissent pas de tension aux moteurs et le train n’avance pas, sans que personne ne comprenne. Les techniciens de service recherchent, vérifient et re-vérifient les composants, parcourent les instructions – et ne trouvent aucune réponse.
Koleje Dolnośląskie dispose de onze trains Impuls et, selon le calendrier, un autre est en cours de maintenance. Tandis que le premier est toujours immobilisé, le deuxième train arrive, subit la même révision, avec malheureusement, le même résultat. Tout fonctionnait parfaitement avant la maintenance, mais les moteurs refusent de démarrer une fois celle-ci terminée. Pour empirer la situation, le constructeur refuse d’aider.
Nous avons maintenant deux trains à l’arrêt dans l’atelier. Le troisième rate l’inspection en raison d’une panne de batterie, et un quatrième train est envoyé à sa place. La société décide d’utiliser la quatrième pour remorquer une des locomotives en panne. Cependant, une fois connectée à l’une d’entre elle, la nouvelle locomotive s’arrête également, mais la raison semble différente et totalement inconnue.
Pendant ce temps, dans un autre atelier, à Szczecin, une autre locomotive Impuls tombe en panne, dans des circonstances très similaires : elle ne redémarre pas après la maintenance.
Le problème devient si grave que les médias s’en mêlent et relatent l’affaire. Les six trains les plus longs de Koleje Dolnośląskie étant hors service, les horaires doivent être réduits, des trains de remplacement doivent être envoyés, et les passagers s’entassent dans des trains trop courts. Newag explique que les trains sont bloqués par un « système de sécurité », mais rien n’est mentionné dans les pages du manuel.
Chaque journée d’un train immobilisé dans l’atelier coûtant plusieurs milliers de zlotys en pénalités contractuelles, et avec plusieurs trains en attente, la tension chez SPS augmente. Le problème n’étant identifié ni par les mécaniciens ni par les électriciens, quelqu’un finit rechercher des hackers polonais, et contacte le groupe Dragon Sector. SPS prend donc contact avec eux, dont les représentants incrédules finissent par signer le contrat. Le projet est entrepris par des membres de Dragon Sector, spécialement ceux connus pour avoir hackés le BIOS de portables Toshiba — Michał « Redford » Kowalczyk et Sergiusz « q3k » Bazański. Kuba « PanKleszcz » Stępniewicz, qui a de l’expérience dans l’automatisation industrielle, se joint également à l’équipe.
L’équipe se met rapidement au travail et Kuba part en voyage à l’atelier. Une fois sur place, ils reçoivent un train qui ne roule pas, deux ordinateurs de rechange et les fichiers SDK du fabricant de l’ordinateur. Ils commencent par écouter le bus de données CAN (Controller Area Network), mais sans information sur les protocoles, la tâche s’avère ardue. Ils tentent de télécharger le microcode de l’ordinateur de bord, mais la documentation du SDK permet uniquement les mises à jour, pas d’inspecter la version installée.
La première tentative d’utilisation d’une ancienne version du micrologiciel, sur un ordinateur de rechange se solde par un échec : l’ordinateur ne répond plus. Ils trouvent finalement l’interface de débogage sur le dernier ordinateur de rechange, et octet par octet, en extraient la mémoire. L’ordinateur est basé sur l’architecture Infineon TriCore, souvent utilisée dans l’industrie automobile, et les chercheurs finissent enfin par examiner le code en utilisant une version modifiée de Ghidra.
Les travaux avancent doucement, mais l’échéance approche et les trains tombent toujours en panne. Dos au mur, Koleje Dolnośląskie, décide de coopérer avec Newag sur l’entretien des trains en panne, y compris ceux qui, selon l’appel d’offres initial, devaient être entretenus uniquement par SPS. Le contrat devant être résilié d’ici une semaine, les chercheurs se mettent à travailler de plus belle.
Le groupe est enfin en possession de tous les micro-logiciels des trains, autant ceux en état de marche que ceux en panne. Chacun des trains ayant des fonctionnalités particulières et une version différente du logiciel, l’analyse est difficile, mais ils commencent à identifier une piste. Entre un ordinateur en état de marche et un autre en panne, certaines plages de mémoire diffèrent. Une fois corrigées sur un ordinateur en panne, celui-ci démarre enfin. Le test étant effectué sur un ordinateur isolé sur un bureau, il s’arrête dès que le logiciel détecte qu’il manque le reste du train, mais il est prêt à faire fonctionner les onduleurs.
Moins de 24 heures avant la date fatidique, les chercheurs identifient des paramètres supplémentaires pour faire démarrer le train. Malheureusement, le condensateur du dernier ordinateur de bord en état de marche brûle pendant les expériences. Après un nouveau brainstorming et de nombreuses tentatives pour combiner deux ordinateurs endommagés en un seul, le premier est réparé, et à 2 heures du matin, la veille de l’heure apocalyptique, les chercheurs configurent l’ordinateur qui fera démarrer le train.
Un de nos héros monte à bord d’un train (d’une autre compagnie) pour rejoindre l’atelier avec un ordinateur probablement en état de marche devant les représentants des chemins de fer de Basse-Silésie, qui ont annoncé leur visite pour 9h30. Malheureusement, le train que prend le chercheur pour se rendre sur place est en retard. Finalement, dans la matinée, un chercheur équipé d’un ordinateur arrive sur les lieux et le connecte au train en panne. Et celui-ci ne bouge pas… Un autre brainstorming identifie le dernier drapeau oublié et à 8h42 le train parvient enfin à démarrer !
La délégation de Koleje Dolnośląskie, voyant à 9h30 que les trains ont une chance de reprendre vie, ne résilie pas le contrat avec SPS.
Pourquoi le train est tombé en panne ?
Déterminer comment faire démarrer le train ne représentait qu’une petite partie du problème. Il fallait maintenant découvrir pourquoi il était tombé en panne.
Des mois d’analyse et de rétro-ingénierie ont permis de révéler des conditions extrêmement intéressantes inscrites dans le code logiciel de différents trains fournis par Newag. Après des centaines d’heures passées à étudier les codes émis par des dizaines de trains, il a été possible d’identifier des mécanismes provoquant des pannes soudaines dans les trains.
Les valeurs numériques 53,13845 et 17,99011 trouvées dans le code informatique semblaient familières à première vue. Il s’est rapidement avéré qu’il s’agissait de coordonnées GPS, indiquant les environs de la gare de Bydgoszcz Główna, ou, plus précisément, le centre de service PESA situé juste à côté. Bientôt, les coordonnées d’autres services susceptibles d’effectuer des réparations et des inspections de trains en Pologne ont également été trouvées. Ci-dessous, nous montrons le pseudo-code de l’algorithme :
check1 = 53.13845 < lat && lat < 53.13882 && 17.99011 < long && long < 17.99837 ; check2 = 53.14453 < lat && lat < 53.14828 && 18.00428 < long && long < 18.00555 ; check3 = 52.17048 < lat && lat < 52.17736 && 21.53480 < long && long < 21.54437 ; check4 = 49.60336 < lat && lat < 49.60686 && 20.70073 < long && long < 20.70840 && (this->lock_function_test & 1) ; check5 = 53.10244 < lat && lat < 53.10406 && 18.07817 < long && long < 18.08243 ; check6 = 50.12608 < lat && lat < 50.12830 && 19.38411 < long && long < 19.38872 ; check7 = 52.77292 < lat && lat < 52.77551 && 18.22117 < long && long < 18.22724 ;Les paires de coordonnées définissent les zones d’atelier. Il existe une condition inscrite dans le code informatique qui exige que le train soit désactivé s’il passe au moins dix jours dans l’un de ces ateliers. L’un des ateliers appartient à Newag lui-même - mais une condition logique différente a été définie pour ses coordonnées, probablement à des fins de test.
D’autres surprises furent bientôt découvertes. Il s’agissait notamment du blocage du train lorsqu’un de ses composants (vérifié par son numéro de série) était remplacé. Une option permettant d’annuler le verrouillage a également été découverte — cela ne nécessitait pas de définir des indicateurs au niveau de la mémoire de l’ordinateur, mais uniquement la séquence appropriée de clics sur les boutons dans la cabine et sur l’écran de l’ordinateur de bord.
Lorsque les informations sur le lancement réussi des trains Impuls sont parvenues aux médias, les trains ont reçu une mise à jour logicielle qui supprimait cette possibilité de « réparation ». Un code a été trouvé sur un autre train lui indiquant de « casser » après avoir parcouru un million de kilomètres.
Vérifier la date…
Une situation assez cocasse a été rencontrée dans une autre escouade qui a refusé de démarrer, le 21 novembre 2022, alors qu’elle n’était pas sur place à ce moment-là. L’ordinateur signale une panne du compresseur, les mécaniciens n’ont, pourtant, identifié aucune panne sur le compresseur. Les pantographes ne fonctionnant toujours pas, l’analyse du code informatique a détecté une condition de crash suivante, qui signalait une panne de compresseur :
si le jour est supérieur ou égal au 21 et si le mois est supérieur ou égal à 11 et si l’année est supérieure ou égale à 2021La situation était amusante, car le train devait être inspecté en novembre 2021 (un an avant la panne), mais par coïncidence, la condition n’a pas fonctionné. Le train a été entretenu un instant plus tôt et n’a été relancé qu’en janvier 2022 - et cette date ne répondait plus à la condition logique sophistiquée décrite ci-dessus. C’est probablement l’incapacité de l’auteur du logiciel à écrire correctement des conditions qui a obligé à attendre le 21 novembre 2022 pour que l’on puisse constater l’effet prévu.
Surprise matérielle
Les surprises ne se cachent pas seulement dans les logiciels informatiques. Dans l’un des dépôts, les chercheurs ont découvert un dispositif signé comme « convertisseur UDP / CAN », permettant vraisemblablement une communication à distance avec le train. Le supprimer n’a pas empêché quoi que ce soit de fonctionner. L’analyse a montré que l’ordinateur de bord envoyait des informations sur l’état du verrouillage à cet appareil et que l’appareil lui-même était connecté à un modem GSM.
Pas seulement à Wrocław
L’information selon laquelle le service SPS avait réussi à réparer les trains Newag « cassés » est rapidement parvenue à d’autres services. Cela s’est avéré être un problème assez courant. À Wrocław, ils ont analysé 13 rames Impuls, mais celles qui circulaient à Koleje Mazowieckie sont également tombées en panne (une unité), deux à Opole, quatre à Cracovie, une à Zielona Góra, quatre à Szczecin et une à SKM. Heureusement, chacune a été réparée à l’aide d’un outil développé par nos chercheurs, qui supprime les verrous logiciels de l’ordinateur de bord. Au total, nos collègues ont analysé le logiciel de 29 trains, et seulement cinq ont trouvé des surprises allant au-delà des instructions d’exploitation officielles.
La suite
Nous laissons l’évaluation des solutions utilisées par le fabricant aux lecteurs et clients de cette entreprise. Il est intéressant de noter que, même si des poursuites judiciaires sont en cours, il est difficile de trouver en Pologne une institution qui ferait autre chose qu’exprimer un intérêt amical dans cette affaire.
Nous n’avons connaissance d’aucune mesure prise par « l’Office de la protection des consommateurs et de la concurrence », ni par « l’Office du transport ferroviaire », qui semble pourtant appropriée. Cette dernière à pour rôle de surveiller les pratiques des sociétés qui travaillent avec les organisations gouvernementales locales. Que des voyageurs aient subi des désagréments ou forcés à utiliser des transports alternatifs pendant des mois semble pourtant éligible à un dédommagement.
La seule institution connue à avoir pris des mesures est le CERT Polska, qui a été informé de la découverte par les chercheurs. Le commentaire que nous avons reçu montre que CERT Polska a informé les « autorités compétentes » et que l’affaire est traitée par les autorités chargées de l’application de la loi.
Nous félicitons les meilleurs hackers polonais pour leur découverte intéressante et l’exécution professionnelle de la commande. Décidément rien n’est plus motivant qu’une date limite demain matin.
L’article ci-dessus n’est qu’un bref résumé de la présentation donnée lors de la conférence Oh My H@ck le 5 décembre 2023 par les membres de l’équipe : Jakub Stępniewicz, Sergiusz Bazański et Michał Kowalczyk. L’article a omis de nombreux détails et une grande partie technique de l’analyse — nous ne pouvons qu’espérer que cela motivera les auteurs de l’étude à rédiger et publier son cours. Mis à jour le 05/12/2023 à 16h00
Réponse de l’Office des transports ferroviaires (UTK)
Nous avons reçu la position officielle de l’Office des transports ferroviaires (UTK), que nous citons intégralement ci-dessous :
Le président de l’UTK est au courant de l’affaire et a vérifié les informations concernant les analyses effectuées sur les logiciels des véhicules ferroviaires et coopère également avec les services compétents à ce sujet. En collaboration avec CERT Polska (une équipe créée pour répondre aux incidents violant la sécurité Internet), une réunion avec le constructeur ferroviaire a été organisée. Les véhicules répondent aux exigences essentielles précisées dans les dispositions des directives européennes. C’est la personne qui commande le véhicule qui détermine les conditions de service et de garantie dans le cadre de la liberté contractuelle. Ces exigences sont incluses dans les contrats d’achat de trains. Toute limitation des capacités de service, y compris les limitations introduites dans le logiciel, peut constituer un éventuel litige civil entre le client et le fabricant. Le président de l’UTK n’est pas l’autorité compétente en la matière.
Conformément à l’art. 41 alinéa 2 de la loi du 5 juillet 2018 relative au système national de cybersécurité (texte consolidé : Journal des lois de 2023, articles 913, 1703), l’autorité chargée de la cybersécurité du secteur des transports (hors sous-secteur du transport par eau) est l’autorité compétente en matière de cybersécurité.
Ministre chargé des questions de transports.Liens
- Newag_Impuls (pl)
- Infineon_TriCore (en)
- Ghidra (en)
- CERT Polska (en)
- journal LinuxFr.org
- BadCyber Dieselgate, but for trains – some heavyweight hardware hacking (en)
- 404media Polish Hackers Repaired Trains the Manufacturer Artificially Bricked. Now The Train company is threatening them (en)
- l’histoire par un ses hackers (en)
- HackADay The Deere Disease Spreads To Trains (en)
Commentaires : voir le flux Atom ouvrir dans le navigateur
--- End Message ---
Fin de compilation de la liste linuxfr-news - dim., 04 f�vr. 2024
