Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs ont mis la main sur le logiciel dont s'est servi Volkswagen
Pour fausser les résultats des contrôles antipollution

Le , par Stéphane le calme

87PARTAGES

15  0 
Une équipe internationale de chercheurs a découvert le mécanisme qui a permis à Volkswagen de contourner les tests d'émissions américains et européens pendant au moins six ans avant que l'Environmental Protection Agency ne lance des poursuites contre le constructeur pour violation de la Clean Air Act.

Dirigée par Kirill Levchenko, informaticienne de l'Université de Californie à San Diego, l’équipe a présenté les résultats de son enquête, qui aura duré un an, lors du 38e Symposium IEEE sur la sécurité et la vie privée dans la région de la baie de San Francisco qui s’est déroulé cette semaine.

« Nous avons pu trouver l'arme du crime », a déclaré Levchenko. « Nous avons trouvé le système et comment il a été utilisé. »

Les ingénieurs ont obtenu des copies du code exécuté sur les ordinateurs de bord de Volkswagen à partir du site Web de maintenance de la société et des forums gérés par les amateurs de voitures. Le code fonctionnait sur une large gamme de modèles, y compris Jetta, Golf et Passat, ainsi que les séries Audi et A.

« Nous avons trouvé des preuves de la fraude là-bas en vue publique », a-t-elle assuré.
Au cours des tests de normes d'émissions, les voitures sont placées sur un châssis équipé d'un dynamomètre qui mesure la puissance du moteur. Le véhicule suit un profil de vitesse précisément défini qui tente d'imiter la conduite réelle sur une route urbaine avec des arrêts fréquents. Les conditions du test sont normalisées et publiques. Cela permet essentiellement aux fabricants de modifier délibérément le comportement de leurs véhicules pendant le cycle d'essai. Le code trouvé dans les véhicules de Volkswagen vérifie un certain nombre de conditions associées à un test de conduite, comme la distance, la vitesse et même la position de la roue. Si les conditions sont remplies, le code dirige l'ordinateur de bord pour activer le mécanisme de freinage des émissions lorsque ces conditions ont été remplies.

L’équipe de chercheurs a une vaste expérience dans l'analyse des systèmes embarqués, tels que les ordinateurs de bord des voitures, appelés unités de contrôle du moteur, à la recherche de vulnérabilités. L'équipe a examiné 900 versions du code et a constaté que 400 d'entre elles comprenaient des informations pour contourner les tests d'émissions.

Un code spécifique a été nommé « condition acoustique ». Si ce nom évoque de prime abord une façon de contrôler le son du moteur, les chercheurs se sont rendu compte qu’il s’agissait d’un euphémisme qui désignait les conditions survenant lors d'un test d'émission. Le code permettait de lancer jusqu'à 10 profils différents pour les tests potentiels. Lorsque l'ordinateur déterminait que la voiture subissait un test, il activait les systèmes de freinage des émissions, ce qui a réduit la quantité d'oxyde d'azote émis.

« Le dispositif de contournement des tests antipollution de Volkswagen est probablement le plus complexe dans l'histoire de l'automobile », a déclaré Levchenko. Les chercheurs ont trouvé un stratagème de contournement moins sophistiqué pour le Fiat 500X. L'ordinateur de bord de cette voiture permet simplement à son système de freinage des émissions de fonctionner pendant les 26 premières minutes et 40 secondes après le démarrage du moteur - à peu près la durée de nombreux tests d'émission.

Les chercheurs notent que pour Volkswagen et Fiat, l'unité de contrôle du moteur des véhicules est fabriquée par le spécialiste des composants automobiles Robert Bosch. Les constructeurs automobiles activent alors le code en entrant des paramètres spécifiques.

Les moteurs diesel présentent des défis particuliers pour les fabricants d'automobiles, car leur procédé de combustion produit plus de particules et d'oxyde d'azote que les moteurs à essence. Pour limiter les émissions de ces moteurs, l'ordinateur de bord du véhicule doit parfois sacrifier les performances ou l'efficacité de la conformité.

L'étude attire l'attention sur les défis réglementaires de la vérification des systèmes contrôlés par logiciel qui peuvent tenter de cacher leur comportement et appelle à une nouvelle génération de techniques qui fonctionnent dans un contexte conflictuel.

« Le test du dynamomètre n'est plus suffisant », a estimé Levchenko.

Source : Phys

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 29/08/2017 à 9:31
Citation Envoyé par abbe2017 Voir le message
Souvenez de cette énorme faille de sécurité dans le paquet debian openmachin (j'ai oublié le nom mais yavait OPEN dedans) ya 3ans je crois ...ah ils rigolaient moins les gens de l'opensource qui disaient que leur code était vérifier par des milliers de gens compétents dans la communauté (et aussi des milliers de gens malvaillants donc)....
OpenSSL: Grâce au côté libre de ce logiciel, le correctif était dispo quelques heures après la révélation de la faille (ce qui a été plus long par contre, c'est que des admins se réveillent pour mettre à jour leurs serveurs). Mais on est loin du "zero-day" que Microsoft ou Apple laisse trainer pendant des semaines ou des mois, et c'est encore pire chez d'autres éditeurs fermés.

Des gens compétents ont examiné OpenSSL, et ont créé LibreSSL... ça, tu ne peux le faire sur du privateur.
9  0 
Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 29/08/2017 à 8:59
Citation Envoyé par abbe2017 Voir le message
cette idée est aussi absurde que de publier les plants des cadenas ou des coffres forts des banques.

ça vous ferait quoi si la porte de sécurité de votre maison était dans le domaine publique open source ?
C'est le cas: les plans des portes, cadenas et verrouillages sont disponibles (parfois dans des manuels d'installation, parfois même dans des publicités). Pose la question à un serrurier, et tu verras à quel point il est facile d'obtenir le plan ou la référence de n'importe quelle pièce de porte.

Ce qui n'est pas publié c'est la forme de la clé et de la serrure. Tout comme le mot de passe pour ton application. La fermeture des sources d'une application ne garantit en rien la sécurité d'une application. As-tu déjà entendu parler de déssaseamblage, décompilation ou ingénierie-inverse ?

Citation Envoyé par ddoumeche Voir le message
Aux états-unis, le véhicule le plus vendu est le Ford F150, avec un moteur V8 5.0, 10 litres aux 100. Mais également un V6 3.3 de 280ch.
Véhicule qui pollue au moins 10 fois et n'est pas soumis aux régulations comme les diesels de VW.

L'hypocrisie totale de l'administration américaine en marche.
En effet, les véhicules américains sont réputés pour rejeter des quantités énormes de CO2 (et donc avoir une consommation de carburant très très élevée). Par contre, aux USA ils sont plus strictes en ce qui concerne les rejets de NOx et particules fines. C'est toujours mieux de préciser de quelle pollution on parle. Les rejets d'un véhicule à combustion sont multiples et variés.
7  0 
Avatar de kedare
Membre expérimenté https://www.developpez.com
Le 28/08/2017 à 14:13
Citation Envoyé par Stéphane le calme Voir le message

« Aujourd'hui, Volkswagen n'est pas la même entreprise qu'il y a 18 mois », a ajouté la société.


Désolé c'était trop tentant.

Citation Envoyé par Stéphane le calme Voir le message

Cox a déclaré qu'il espérait que la peine de prison et l'amende dissuaderaient d'autres ingénieurs et cadres de l'industrie automobile de systèmes semblables de tromper les autorités de réglementation et les consommateurs.
Par contre les dirigeant qui ont participés juste pour se faire plus de benefices eux ne risquent rien.
5  0 
Avatar de byrautor
Membre averti https://www.developpez.com
Le 30/08/2017 à 19:59
Et oui, c'est en obligeant les contrôleurs à suivre une stricte procédure que la fraude n'a pas été détectée.
Et d'écrire un cahier des charges en trois mots : les émissions de CO2 ne doivent jamais dépasser X % du volume des gaz d'échappement : c'était trop difficile !
Le cahier des charges ne doit jamais indiquer les méthodes de contrôle.
Les méthodes de contrôle appartiennent aux spécialistes des vérifications (comme en aviation il y a 40 ans !)
Pour moi le Contrôle est aussi responsable que le contrôlé, c'est bien ce qui définit sa responsabilité par rapport au cahier des charges.
Il n'y a pas que dans l'automobile que l'on a mélangé le contenant et le contenu !
C'est une dérive de nos sociétés actuelles.
5  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 14/06/2018 à 17:22
Paralellement, je relisais l'historique sur le hack de Yahoo. Dans les deux cas, il y a incompétence et volonté de la hiérarchie. Dans un cas, parachute doré. Dans l'autre, 22 milliards de prune et peine de prison.
5  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 28/08/2017 à 14:05
Pourquoi ces sanctions viennent uniquement des Etats-Unis ? C'est un jugement de la cour de Détroit, et ce sont les autorités américaines qui décident le montant du programme vert. Les américains sont-ils les seules victimes de la fraude au diesel ? Les allemands, l'UE ne disent rien, ne font pas de procès ?
4  0 
Avatar de FraisDesRiques
Membre actif https://www.developpez.com
Le 28/08/2017 à 16:20
Et on va me faire croire que seul cet ingénieur et ses quelques "co-conspirateurs" ( ) étaient au courant ? Avec tout ce qu'implique l'installation de ce système spécifique sur une chaine de montage ?
Aucun responsable hiérarchique n'a flairé le truc et ne mérite aussi une sanction de ce type ?
4  0 
Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 29/08/2017 à 8:24
Aux états-unis, le véhicule le plus vendu est le Ford F150, avec un moteur V8 5.0, 10 litres aux 100. Mais également un V6 3.3 de 280ch.
Véhicule qui pollue au moins 10 fois plus et n'est pas soumis aux régulations comme les diesels de VW.

L'hypocrisie totale de l'administration américaine en marche.



Citation Envoyé par Jarodd Voir le message
Pourquoi ces sanctions viennent uniquement des Etats-Unis ? C'est un jugement de la cour de Détroit, et ce sont les autorités américaines qui décident le montant du programme vert. Les américains sont-ils les seules victimes de la fraude au diesel ? Les allemands, l'UE ne disent rien, ne font pas de procès ?
Parce que c'est du racket et que les allemands sont des pleutres
5  1 
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 30/08/2017 à 19:07
Citation Envoyé par Stéphane le calme Voir le message
L'avocat de Liang, Daniel Nixon, a demandé vendredi à Cox d'envisager une condamnation à résidence, affirmant que Liang n'était pas l’un des « cerveaux » de cette opération. Liang « a assuré qu’il obéissait aveuglément à son employeur », a déclaré Nixon. Néanmoins, le procureur fédéral Mark Chutkow a répondu que Liang était une « figure cruciale » dans la conception des systèmes utilisés par Volkswagen pour tromper les tests.
Si on écoute le juge, alors tous les militaires qui ont tué des gens, et qui "obéissaient aveuglément à leurs employeurs", devraient aller en prison. Bah oui, ils étaient bien conscients que "tuer des gens c'est mal". Mais, bien sûr, pas leurs employeurs, qui, eux, ne doivent que payer, et continuer leur vie comme si rien ne s'était passé. Bravo, vive l'Amérique.
4  0 
Avatar de Grogro
Membre extrêmement actif https://www.developpez.com
Le 04/09/2017 à 17:12
Citation Envoyé par abbe2017 Voir le message
ça vous ferait quoi si la porte de sécurité de votre maison était dans le domaine publique open source ?

Par contre, je suis pour que ce code source soit déposé à un officine ou une organisation neutre de contrôle et d'audit.
Rassure-nous, dis-nous que tu n'es pas un professionnel de l'informatique...
4  0