Des chercheurs ont mis la main sur le logiciel dont s'est servi Volkswagen
Pour fausser les résultats des contrôles antipollution
Le 2017-05-27 23:10:23, par Stéphane le calme, Chroniqueur Actualités
Une équipe internationale de chercheurs a découvert le mécanisme qui a permis à Volkswagen de contourner les tests d'émissions américains et européens pendant au moins six ans avant que l'Environmental Protection Agency ne lance des poursuites contre le constructeur pour violation de la Clean Air Act.
Dirigée par Kirill Levchenko, informaticienne de l'Université de Californie à San Diego, l’équipe a présenté les résultats de son enquête, qui aura duré un an, lors du 38e Symposium IEEE sur la sécurité et la vie privée dans la région de la baie de San Francisco qui s’est déroulé cette semaine.
« Nous avons pu trouver l'arme du crime », a déclaré Levchenko. « Nous avons trouvé le système et comment il a été utilisé. »
Les ingénieurs ont obtenu des copies du code exécuté sur les ordinateurs de bord de Volkswagen à partir du site Web de maintenance de la société et des forums gérés par les amateurs de voitures. Le code fonctionnait sur une large gamme de modèles, y compris Jetta, Golf et Passat, ainsi que les séries Audi et A.
« Nous avons trouvé des preuves de la fraude là-bas en vue publique », a-t-elle assuré.
Au cours des tests de normes d'émissions, les voitures sont placées sur un châssis équipé d'un dynamomètre qui mesure la puissance du moteur. Le véhicule suit un profil de vitesse précisément défini qui tente d'imiter la conduite réelle sur une route urbaine avec des arrêts fréquents. Les conditions du test sont normalisées et publiques. Cela permet essentiellement aux fabricants de modifier délibérément le comportement de leurs véhicules pendant le cycle d'essai. Le code trouvé dans les véhicules de Volkswagen vérifie un certain nombre de conditions associées à un test de conduite, comme la distance, la vitesse et même la position de la roue. Si les conditions sont remplies, le code dirige l'ordinateur de bord pour activer le mécanisme de freinage des émissions lorsque ces conditions ont été remplies.
L’équipe de chercheurs a une vaste expérience dans l'analyse des systèmes embarqués, tels que les ordinateurs de bord des voitures, appelés unités de contrôle du moteur, à la recherche de vulnérabilités. L'équipe a examiné 900 versions du code et a constaté que 400 d'entre elles comprenaient des informations pour contourner les tests d'émissions.
Un code spécifique a été nommé « condition acoustique ». Si ce nom évoque de prime abord une façon de contrôler le son du moteur, les chercheurs se sont rendu compte qu’il s’agissait d’un euphémisme qui désignait les conditions survenant lors d'un test d'émission. Le code permettait de lancer jusqu'à 10 profils différents pour les tests potentiels. Lorsque l'ordinateur déterminait que la voiture subissait un test, il activait les systèmes de freinage des émissions, ce qui a réduit la quantité d'oxyde d'azote émis.
« Le dispositif de contournement des tests antipollution de Volkswagen est probablement le plus complexe dans l'histoire de l'automobile », a déclaré Levchenko. Les chercheurs ont trouvé un stratagème de contournement moins sophistiqué pour le Fiat 500X. L'ordinateur de bord de cette voiture permet simplement à son système de freinage des émissions de fonctionner pendant les 26 premières minutes et 40 secondes après le démarrage du moteur - à peu près la durée de nombreux tests d'émission.
Les chercheurs notent que pour Volkswagen et Fiat, l'unité de contrôle du moteur des véhicules est fabriquée par le spécialiste des composants automobiles Robert Bosch. Les constructeurs automobiles activent alors le code en entrant des paramètres spécifiques.
Les moteurs diesel présentent des défis particuliers pour les fabricants d'automobiles, car leur procédé de combustion produit plus de particules et d'oxyde d'azote que les moteurs à essence. Pour limiter les émissions de ces moteurs, l'ordinateur de bord du véhicule doit parfois sacrifier les performances ou l'efficacité de la conformité.
L'étude attire l'attention sur les défis réglementaires de la vérification des systèmes contrôlés par logiciel qui peuvent tenter de cacher leur comportement et appelle à une nouvelle génération de techniques qui fonctionnent dans un contexte conflictuel.
« Le test du dynamomètre n'est plus suffisant », a estimé Levchenko.
Source : Phys
Dirigée par Kirill Levchenko, informaticienne de l'Université de Californie à San Diego, l’équipe a présenté les résultats de son enquête, qui aura duré un an, lors du 38e Symposium IEEE sur la sécurité et la vie privée dans la région de la baie de San Francisco qui s’est déroulé cette semaine.
« Nous avons pu trouver l'arme du crime », a déclaré Levchenko. « Nous avons trouvé le système et comment il a été utilisé. »
Les ingénieurs ont obtenu des copies du code exécuté sur les ordinateurs de bord de Volkswagen à partir du site Web de maintenance de la société et des forums gérés par les amateurs de voitures. Le code fonctionnait sur une large gamme de modèles, y compris Jetta, Golf et Passat, ainsi que les séries Audi et A.
« Nous avons trouvé des preuves de la fraude là-bas en vue publique », a-t-elle assuré.
Au cours des tests de normes d'émissions, les voitures sont placées sur un châssis équipé d'un dynamomètre qui mesure la puissance du moteur. Le véhicule suit un profil de vitesse précisément défini qui tente d'imiter la conduite réelle sur une route urbaine avec des arrêts fréquents. Les conditions du test sont normalisées et publiques. Cela permet essentiellement aux fabricants de modifier délibérément le comportement de leurs véhicules pendant le cycle d'essai. Le code trouvé dans les véhicules de Volkswagen vérifie un certain nombre de conditions associées à un test de conduite, comme la distance, la vitesse et même la position de la roue. Si les conditions sont remplies, le code dirige l'ordinateur de bord pour activer le mécanisme de freinage des émissions lorsque ces conditions ont été remplies.
L’équipe de chercheurs a une vaste expérience dans l'analyse des systèmes embarqués, tels que les ordinateurs de bord des voitures, appelés unités de contrôle du moteur, à la recherche de vulnérabilités. L'équipe a examiné 900 versions du code et a constaté que 400 d'entre elles comprenaient des informations pour contourner les tests d'émissions.
Un code spécifique a été nommé « condition acoustique ». Si ce nom évoque de prime abord une façon de contrôler le son du moteur, les chercheurs se sont rendu compte qu’il s’agissait d’un euphémisme qui désignait les conditions survenant lors d'un test d'émission. Le code permettait de lancer jusqu'à 10 profils différents pour les tests potentiels. Lorsque l'ordinateur déterminait que la voiture subissait un test, il activait les systèmes de freinage des émissions, ce qui a réduit la quantité d'oxyde d'azote émis.
« Le dispositif de contournement des tests antipollution de Volkswagen est probablement le plus complexe dans l'histoire de l'automobile », a déclaré Levchenko. Les chercheurs ont trouvé un stratagème de contournement moins sophistiqué pour le Fiat 500X. L'ordinateur de bord de cette voiture permet simplement à son système de freinage des émissions de fonctionner pendant les 26 premières minutes et 40 secondes après le démarrage du moteur - à peu près la durée de nombreux tests d'émission.
Les chercheurs notent que pour Volkswagen et Fiat, l'unité de contrôle du moteur des véhicules est fabriquée par le spécialiste des composants automobiles Robert Bosch. Les constructeurs automobiles activent alors le code en entrant des paramètres spécifiques.
Les moteurs diesel présentent des défis particuliers pour les fabricants d'automobiles, car leur procédé de combustion produit plus de particules et d'oxyde d'azote que les moteurs à essence. Pour limiter les émissions de ces moteurs, l'ordinateur de bord du véhicule doit parfois sacrifier les performances ou l'efficacité de la conformité.
L'étude attire l'attention sur les défis réglementaires de la vérification des systèmes contrôlés par logiciel qui peuvent tenter de cacher leur comportement et appelle à une nouvelle génération de techniques qui fonctionnent dans un contexte conflictuel.
« Le test du dynamomètre n'est plus suffisant », a estimé Levchenko.
Source : Phys
-
AndMaxMembre éprouvéOpenSSL: Grâce au côté libre de ce logiciel, le correctif était dispo quelques heures après la révélation de la faille (ce qui a été plus long par contre, c'est que des admins se réveillent pour mettre à jour leurs serveurs). Mais on est loin du "zero-day" que Microsoft ou Apple laisse trainer pendant des semaines ou des mois, et c'est encore pire chez d'autres éditeurs fermés.
Des gens compétents ont examiné OpenSSL, et ont créé LibreSSL... ça, tu ne peux le faire sur du privateur.le 29/08/2017 à 9:31 -
AndMaxMembre éprouvéC'est le cas: les plans des portes, cadenas et verrouillages sont disponibles (parfois dans des manuels d'installation, parfois même dans des publicités). Pose la question à un serrurier, et tu verras à quel point il est facile d'obtenir le plan ou la référence de n'importe quelle pièce de porte.
Ce qui n'est pas publié c'est la forme de la clé et de la serrure. Tout comme le mot de passe pour ton application. La fermeture des sources d'une application ne garantit en rien la sécurité d'une application. As-tu déjà entendu parler de déssaseamblage, décompilation ou ingénierie-inverse ?
En effet, les véhicules américains sont réputés pour rejeter des quantités énormes de CO2 (et donc avoir une consommation de carburant très très élevée). Par contre, aux USA ils sont plus strictes en ce qui concerne les rejets de NOx et particules fines. C'est toujours mieux de préciser de quelle pollution on parle. Les rejets d'un véhicule à combustion sont multiples et variés.le 29/08/2017 à 8:59 -
kedareMembre chevronné
Désolé c'était trop tentant.
Par contre les dirigeant qui ont participés juste pour se faire plus de benefices eux ne risquent rien.le 28/08/2017 à 14:13 -
byrautorMembre éclairéEt oui, c'est en obligeant les contrôleurs à suivre une stricte procédure que la fraude n'a pas été détectée.
Et d'écrire un cahier des charges en trois mots : les émissions de CO2 ne doivent jamais dépasser X % du volume des gaz d'échappement : c'était trop difficile !
Le cahier des charges ne doit jamais indiquer les méthodes de contrôle.
Les méthodes de contrôle appartiennent aux spécialistes des vérifications (comme en aviation il y a 40 ans !)
Pour moi le Contrôle est aussi responsable que le contrôlé, c'est bien ce qui définit sa responsabilité par rapport au cahier des charges.
Il n'y a pas que dans l'automobile que l'on a mélangé le contenant et le contenu !
C'est une dérive de nos sociétés actuelles.
le 30/08/2017 à 19:59 -
marsupialExpert éminentParalellement, je relisais l'historique sur le hack de Yahoo. Dans les deux cas, il y a incompétence et volonté de la hiérarchie. Dans un cas, parachute doré. Dans l'autre, 22 milliards de prune et peine de prison.le 14/06/2018 à 17:22
-
JaroddMembre expérimentéPourquoi ces sanctions viennent uniquement des Etats-Unis ? C'est un jugement de la cour de Détroit, et ce sont les autorités américaines qui décident le montant du programme vert. Les américains sont-ils les seules victimes de la fraude au diesel ? Les allemands, l'UE ne disent rien, ne font pas de procès ?le 28/08/2017 à 14:05
-
FraisDesRiquesMembre actifEt on va me faire croire que seul cet ingénieur et ses quelques "co-conspirateurs" (
) étaient au courant ? Avec tout ce qu'implique l'installation de ce système spécifique sur une chaine de montage ?
Aucun responsable hiérarchique n'a flairé le truc et ne mérite aussi une sanction de ce type ?le 28/08/2017 à 16:20 -
ddoumecheMembre extrêmement actifAux états-unis, le véhicule le plus vendu est le Ford F150, avec un moteur V8 5.0, 10 litres aux 100. Mais également un V6 3.3 de 280ch.
Véhicule qui pollue au moins 10 fois plus et n'est pas soumis aux régulations comme les diesels de VW.
L'hypocrisie totale de l'administration américaine en marche.
Parce que c'est du racket et que les allemands sont des pleutresle 29/08/2017 à 8:24 -
SurferIXMembre chevronnéSi on écoute le juge, alors tous les militaires qui ont tué des gens, et qui "obéissaient aveuglément à leurs employeurs", devraient aller en prison. Bah oui, ils étaient bien conscients que "tuer des gens c'est mal". Mais, bien sûr, pas leurs employeurs, qui, eux, ne doivent que payer, et continuer leur vie comme si rien ne s'était passé. Bravo, vive l'Amérique.le 30/08/2017 à 19:07
-
GrogroMembre extrêmement actifle 04/09/2017 à 17:12