« Les logiciels propriétaires sont des matériaux de construction dangereux », avance un avocat
Qui estime qu'ils devraient pouvoir être inspectés
Le 2015-09-24 10:56:51, par Stéphane le calme, Chroniqueur Actualités
Mise à jour du 17 / 12 / 2015 : les correctifs proposés par Volkswagen ont été approuvés
Le groupe Volkswagen a annoncé que les régulateurs allemands ont approuvé les correctifs proposés aux logiciels sur les moteurs diesel de ses voitures qui ont été au cœur d’un scandale de fraude aux tests antipollution. Il s’agit plus précisément des séries EA189 1,2 litre, 1,6 litre et 2 litres.
« Après des examens minutieux, l'Office fédéral allemand des véhicules à moteur (KBA) a complètement ratifié toutes ces mesures », a expliqué le groupe qui précise que les moteurs diesel 1,2 litre et 2 litres auront droit à une mise à jour qui devrait être effectuée en moins d’une demi-heure. Les moteurs diesel 1,6 litre auront également droit à une mise à jour, mais aussi à un « redresseur de flux » qui sera monté en face du capteur de masse d’air, une opération qui devra durer moins d’une heure.
« Ces mesures seront applicables en Europe », a précisé le groupe dans un communiqué de presse qui estime qu’une fois qu’elles auront été implémentées, les véhicules seront alors conformes aux standards d’émission, avec pour objectif de ne provoquer aucune altération de la puissance du moteur, de la consommation de carburant ou même de la performance.
Les implémentations de ces mesures devront commencer en fin janvier 2016.
Source : communiqué de presse Volkswagen
Le groupe Volkswagen a annoncé que les régulateurs allemands ont approuvé les correctifs proposés aux logiciels sur les moteurs diesel de ses voitures qui ont été au cœur d’un scandale de fraude aux tests antipollution. Il s’agit plus précisément des séries EA189 1,2 litre, 1,6 litre et 2 litres.
« Après des examens minutieux, l'Office fédéral allemand des véhicules à moteur (KBA) a complètement ratifié toutes ces mesures », a expliqué le groupe qui précise que les moteurs diesel 1,2 litre et 2 litres auront droit à une mise à jour qui devrait être effectuée en moins d’une demi-heure. Les moteurs diesel 1,6 litre auront également droit à une mise à jour, mais aussi à un « redresseur de flux » qui sera monté en face du capteur de masse d’air, une opération qui devra durer moins d’une heure.
« Ces mesures seront applicables en Europe », a précisé le groupe dans un communiqué de presse qui estime qu’une fois qu’elles auront été implémentées, les véhicules seront alors conformes aux standards d’émission, avec pour objectif de ne provoquer aucune altération de la puissance du moteur, de la consommation de carburant ou même de la performance.
Les implémentations de ces mesures devront commencer en fin janvier 2016.
Source : communiqué de presse Volkswagen
Plusieurs scandales ont éclaté entre 2010 et 2015 sur le sujet. Le plus récent concerne la marque automobile allemande Volkswagen, qui s’est retrouvée au centre d’un scandale au niveau mondial. En effet, mardi dernier, l’Allemand a reconnu avoir mis en place un logiciel sur les moteurs diesel d’environ 11 millions de ses voitures, afin de fausser les résultats de tests antipollution. Mais comment s’y est-il pris ?
Pour rappel, pour obtenir le droit de commercialiser un véhicule, tout constructeur doit se soumettre à une batterie de tests, destinés à mesurer le niveau d’émission de composants polluants. Pour cela, le véhicule est utilisé selon des critères précis, qui permettent d’établir les niveaux exacts d’émission de particules : si ces derniers sont trop élevés, l’autorisation de commercialisation n’est pas délivrée.
Pour fausser les résultats des normes antipollution, un algorithme était installé dans l’unité de commande électronique des Volkswagen dont le but était de détecter automatiquement, et donc sans intervention humaine, à quel moment le véhicule était soumis à un test de mesures antipollution par les autorités compétentes. Pour ce faire, il analysait certains paramètres qui étaient identiques à la procédure des tests en laboratoire : position du volant, pression barométrique, capot ouvert, vitesse du véhicule, etc. Ces différentes phases étant normalisées, il était aisé de concevoir un logiciel qui saurait les reconnaître.
L’agence américaine pour la protection de l’environnement (EPA) avance que, durant les tests qu’elle a menés, le module de contrôle électronique du véhicule a lancé un logiciel qui a produit des résultats d’émission satisfaisants. Cependant, dans des opérations normales du véhicule, le module de contrôle lançait un autre logiciel qui réduisait l’efficacité du système de contrôle d’émission (en particulier la réduction catalytique sélective, une technologie utilisée pour réduire les oxydes d’azote émis). Conséquence, l’émission d’oxydes d’azote pouvait être 10, voire 40 fois plus élevée que les niveaux de conformité de l’EPA, en fonction du type de cycle de conduite. La supercherie n’a pas été démasquée par l’EPA. Ce sont des ingénieurs à l’université de West Virginia qui ont éprouvé sur la route des voitures qui ont passé des inspections d’émission.
Ce qui nous ramène à Moglen, fondateur du Software Freedom Center, qui a avancé il y a déjà cinq ans que les logiciels doivent être transparents pour mieux servir l’intérêt public. « Les logiciels sont dans toute chose », a-t-il rappelé en citant les avions, les appareils médicaux, les voitures et en avançant que la plupart d’entre eux sont propriétaires et donc invisibles.
Mardi dernier, Moglen a rappelé l’histoire de l’ascenseur dans son hôtel. « La politique publique intelligente, comme nous l’avons appris depuis le début du 20e siècle, est d’exiger que les ascenseurs puissent être inspectés et d’obliger les constructeurs à les construire en tenant compte de ça. Si Volkswagen savait que chacun de ses clients qui achètent un véhicule a le droit de lire tous les codes source du logiciel dans le véhicule acheté, il n’aurait jamais envisagé la tricherie, parce que la certitude de se faire prendre un jour ou l’autre aurait été terrifiante ».
Ce n’est pas comme ça que les constructeurs voient les choses. Il faut rappeler que, aux États-Unis par exemple, le code dans les automobiles est protégé en vertu du Digital Millenium Copyright Act. Même si, l’année dernière, plusieurs groupes ont demandé à ce que le code soit disponible pour « des essais de bonne foi, l’identification, la divulgation et la réparation des dysfonctionnements ». Les groupes de constructeurs automobiles ne le voient pas de cet œil puisqu’ils estiment que permettre un examen du logiciel pourrait « constituer de graves menaces pour la sureté et la sécurité ».
Source : EPA (au format PDF), Sofware Freedom Law Center, Volkswagen
Et vous ?
-
Marco46Expert éminent séniorle 24/09/2015 à 11:21
-
Matthieu VergneExpert éminentLe secret fortifie la croyance d'être en sécurité, et non la sécurité elle-même. On peut toujours faire du reverse engineering quand on est un black hat, open source ou pas.
Dans le domaine de la sécurité elle-même, on a bien compris la leçon, et c'est pourquoi on fait du public-privé : la méthode est publique, mais se base sur un caractère privé qui lui doit rester secret. Préserver le secret de la méthode, c'est soit de l'arriérisme (on n'y croit pas), soit une bonne excuse pour faire passer la sécurité à la corbeille à moindre coût (on y croit mais on s'en fout).le 24/09/2015 à 15:42 -
AoCannailleExpert confirméCe genre de scandale ne m'étonne absolument pas, et cela arrive dans vraiment tous les domaines... Il y a un an ou deux il y avait le scandale de Samsung qui repérait les applications de benchmarks pour sortir des meilleurs résultats que prévus sur leurs smartphones (exactement la même situation donc.)
Chaque année au tour de France des spécialistes créent du dopage qui ne doit pas apparaître aux contrôles...
Avec un lien un peu plus capillotracté, l'Etat installe des radars et on utilise des avertisseurs de radar : au moment du contrôle on est à la bonne vitesse, avant et après non.
Bref, c'est le jeu du chat et de la souris en permanence et dans tous les domaines, plus les contrôles durcissent plus les contournements se complexifient...le 24/09/2015 à 12:40 -
mister3957Membre expérimentéCes différentes phases étant normalisées.le 24/09/2015 à 13:21
-
Marco46Expert éminent séniorQuelle incompétence ... Oser sortir un truc pareil en 2015 ...
C'est compliqué ca revient à dire que l'on interdirait les licences propriétaires.le 24/09/2015 à 11:06 -
ZirakInactifOn peut déjà faire tout ça avec une application téléphonique sans avoir accès au code source tellement la sécurité de certains constructeurs est moisies, donc au final, je ne vois pas trop la différencele 24/09/2015 à 11:56
-
GPProMembre éprouvéJe ne sais pas si vous avez pris es raccourcis dans la traduction mais lire un code source et vérifier qu'un exécutable fasse ce qui est attendu ce n'est pas la même chose. Qu'un développeur dise qu'il suffit de publier un code source pour être sûr de l'exécutable sensé correspondre, c'est du foutage de gu****. S'ils sont prêts à tricher comme ils l'ont fait pour des contrôles anti pollution (ce qui me surprend d'ailleurs car la chaîne de responsabilité est telle pour ce genre de tricherie que j'avais toujours pensé que ce genre de choses ne pouvait pas arriver, visiblement j'avais tort), substituer un code source pour un autre c'est de l'enfance de l'art.le 24/09/2015 à 12:34
-
Marco46Expert éminent séniorEt en quoi le fait de publier le code est un danger pour la sécurité ?
Le sécurité par obfuscation c'était l'état de l'art dans les années 40 cher ami ...le 24/09/2015 à 11:58 -
Traroth2Membre émérite"Oui, c'est une option envisageable" ou "Non, cela ne devrait pas être permis"
Une des réponses proposées est légèrement plus péremptoire que l'autre...
Plus sérieusement, si on ne peut pas compiler soi-même, on ne peut pas être sûr que le bidule qu'on nous présente est bel et bien le code source de l'application. Peut-être qu'ils ont truqué le carburateur...le 24/09/2015 à 13:41 -
AndMaxMembre éprouvéOpenSSL: Grâce au côté libre de ce logiciel, le correctif était dispo quelques heures après la révélation de la faille (ce qui a été plus long par contre, c'est que des admins se réveillent pour mettre à jour leurs serveurs). Mais on est loin du "zero-day" que Microsoft ou Apple laisse trainer pendant des semaines ou des mois, et c'est encore pire chez d'autres éditeurs fermés.
Des gens compétents ont examiné OpenSSL, et ont créé LibreSSL... ça, tu ne peux le faire sur du privateur.le 29/08/2017 à 9:31