juillet 25th, 2018

« Trompés par construction, comment les entreprises technologiques utilisent de sombres méthodes pour nous décourager d’exercer notre droit à la préservation de la vie privée » : le Forbrukerrådet Norvégien (Haut Conseil d’information des consommateurs) analyse les méthodes utilisées par Facebook, Google et Microsoft pour déstabiliser les usagers qui voudraient modifier les paramètres de confidentialité intrusifs installés par défaut dans les logiciels de ces trois grands acteurs.

Si l’on s’en tient à la lettre du RGPD, les notions d’informations délivrées « sans ambigüité » et « claires » ne sont visiblement pas respectées. Un graphique synthétique en pages 40 à 42 illustre le parcours du combattant truffé de chausse-trappes que doit suivre le consommateur pour désactiver les multiples outils de flicage et d’aspiration de données privées qui truffent Facebook, les outils Google et Windows 10.

Près de 2300 litres de carburant (600 galons) auraient été siphonnés d’une station-service située dans la banlieue de Detroit (Michigan) grâce à l’usage d’un « équipement miracle » capable de bloquer ou d’interférer avec le système de contrôle à distance du pompiste de service. L’employé, interrogé par la chaine Fox2, a déclaré avoir été impuissant, le temps qu’une dizaine d’automobilistes ait eu le temps de faire le plein. Un « kit d’urgence » lui aurait ensuite permis de stopper cette hémorragie d’hydrocarbure. Mais les rares témoignages sont relativement douteux. 600 galons et 10 automobiles, cela fait 60 galons par véhicule, soit près de 230 litres. Même au pays du gigantisme mécanique, ce genre de réservoir doit être relativement rare. Mystère également sur les moyens techniques utilisés par les pirates.
Déjà, par le passé, des « proof of concept » avaient montré à quel point certains équipements de stations-services étaient vulnérables à toutes sortes d’attaques. Les premiers à en avoir fait les frais, par le plus grand des hasards à la veille de la DefCon 2017, étaient les tunnels de lavage automatique. Et il n’y a aucune raison pour que les systèmes de contrôle des pompes à carburant soient mieux sécurisés que les aires de lavage ou même que les distributeurs de billets (activité affublée d’un nom plutôt évocateur, le Jackpotting ).

Aux USA, certaines pompes sont activées et contrôlées par une liaison sans fil. D’autres utilisent de très classiques liaisons Ethernet locales, mais pour des impératifs de simplicité du système de facturation, l’ordinateur chargé de l’automatisation est également relié au réseau de payement via Internet. La découverte de failles exploitables à distance ne serait donc pas franchement surprenante.