Actu - Une faille de sécurité dans les chargeurs de voitures électriques

[RSSBot]

Des chercheurs de l’éditeur de solutions Kaspersky ont découvert une vulnérabilité sérieuse dans une borne de recharge des voitures électriques. Cette faille de sécurité pourrait permettre à un...

Lire la suite : Une faille de sécurité dans les chargeurs de voitures électriques

[invite03481543]

Bonjour,

je ne sais pas d'où sortent ces infos mais avant de publier des âneries il faudrait peut être un peu plus se renseigner.

Pire, en cas de surchauffe des câbles, les conséquences seraient beaucoup plus graves, avec un risque d’incendie.

C'est vraiment n'importe quoi.
1/ le courant de charge répond à un protocole entre la batterie et le chargeur, le chargeur ne peut prendre seul la décision et si tel était le cas un processus de sécurité (interne à la batterie) se met en place.
C'est le principe du système.
2/ On ne modifie pas un logiciel certifié à la volée, logiciel ayant forcément reçu une homologation et certainement eu une étude FIDES et AMDEC.
Modification => ré-homologation.

Il y a fort à croire que l'essai a été fait avec une batterie quelconque ou démantelé de son système expert.
A minima il faudrait connaître avec plus de détail la manip.
On peut être un expert en malware et être une vraie bille en système d'énergie, la preuve.

Bref comme d'habitude des infos et pseudo "scoop" à la sciences et vie junior, ce n'est pas digne d'un forum qui se prétend scientifique...

[polo974]

[hs] ne pas nourrir le troll.... ne pas nourrir le troll....arghhhh, c'est dur... [/hs]

bon, en gros, ils arrivent à éteindre le chargeur, et à changer le calibre coté secteur...

mais après avoir accédé au wifi, qui n'est de nos jour une passoire que si on le veut bien.

ensuite, ils s'imaginent que les électriciens travaillent tous comme de mauvais informaticiens, donc les disjoncteurs ne seraient pas bien calibrés, les câbles seraient sous-dimensionnés, etc... (ben oui, kaspersky ne vit que grâce à la médiocrité des programmes informatiques...)

heureusement, ce n'est pas le cas, sinon, les pompiers ne sauraient plus où donner de la tête....

j'ai un peu lu leurs rapports (ici, là et en détail).

bon, ok, il y avait des failles, mais il y a un autre souci dont la sécurité n'est même pas évoqué:
leur "box" ouvre une connexion ssh -R vers un de leurs serveurs, ce qui leur ouvre le réseau wifi de votre maison ! ! !
(un ssh -R ouvre une connexion dans le sens inverse, en gros, vous déportez un port de votre machine dans le réseau distant)

C'est ça le gros problème de ces bidules connectés.

[Hol314]

[hs]Nous n'avons pas la même définition du troll, je pense... [/hs]

Par curiosité, comment sécurises-tu ton Wi-Fi pour qu'il ne soit pas une passoire ?

Après, c'est bien connu (même si c'est de moins en vrai), "the 'S' in IOT is for Security"...

[A voir en vidéo sur Futura]

[Cendres]

[hs]Nous n'avons pas la même définition du troll, je pense... [/hs]

Par curiosité, comment sécurises-tu ton Wi-Fi pour qu'il ne soit pas une passoire ?

Après, c'est bien connu (même si c'est de moins en vrai), "the 'S' in IOT is for Security"...

Je crains que chez moi, il ne reste une passoire.

[Cendres]

Il n'y a que Kaspersky qui se soit penché sur la question?

[Hol314]

Depuis quelques mois, si l'on en croit les titres repris partout par la presse (ce qui n'est pas un gage de véracité et j'avoue ne pas avoir vérifié), craquer un mot de passe Wi-Fi WPA2 n'a jamais été aussi facile, auquel cas à défaut de matériel prenant en charge WPA3, je ne vois pas vraiment comment on pourrait sécuriser son Wi-Fi

[Cendres]

Là, je ne m'y connais pas assez. Même pas un petit patch correctif?

[Hol314]

Sans avoir approfondi la question, à part une mise à jour du firmware apportant WPA3, je ne crois pas qu'il y ait de solution. Et d'après https://www.networkworld.com/article...nnections.html, WPA3 ne serait pas forcément compatible avec tous les matériels...

D'où l'importance d'avoir des connexions sécurisées y compris sur son réseau local... dans la mesure du possible. Des modems SFR n'autorisent pas de connexion https pour accéder à la console d'administration, par exemple.

[polo974]

Depuis quelques mois, si l'on en croit les titres repris partout par la presse (ce qui n'est pas un gage de véracité et j'avoue ne pas avoir vérifié), craquer un mot de passe Wi-Fi WPA2 n'a jamais été aussi facile, auquel cas à défaut de matériel prenant en charge WPA3, je ne vois pas vraiment comment on pourrait sécuriser son Wi-Fi

Dans l'article:

Utilisez un mot de passe fort : Même avec cette attaque, le pirate devra attaquer votre mot de passe en force brute. Choisissez donc un mot de passe Wi-Fi fort, très fort.

Donc, c'est une attaque bourrin de chez bourrin... donc non, ça n'est pas "aussi facile".

Pour info, mon mot de passe wifi2 fait 63 caractères.

Mais pour revenir à cette borne de charge: pourquoi un ssh -R qui ouvre votre réseau au monde extérieur (au serveur du constructeur) ? ? ?

Je suis quasiment sûr que ce genre de "détail" n'est pas indiqué sur la notice.

C'est une intrusion, à mes yeux, inadmissible.

Rien que pour ça, il faudrait pouvoir ouvrir un réseau wifi juste dédié à cette me..e et pouvoir gérer correctement le routeur.

[Hol314]

Donc, c'est une attaque bourrin de chez bourrin... donc non, ça n'est pas "aussi facile".

Eh bien apparemment j'ai donné un lien vers un article pourri, ce n'est pas de la force brute dans tous les cas. D'après le site https://www.krackattacks.com/ dévolu à cette vulnérabilité (analysé par Ars Technica dans 2 articles) : "In this demonstration, the attacker is able to decrypt all data that the victim transmits. For an attacker this is easy to accomplish, because our key reinstallation attack is exceptionally devastating against Linux and Android 6.0 or higher. This is because Android and Linux can be tricked into (re)installing an all-zero encryption key..."

Et en plus je me suis trompé, cela datait d'il y a presque 2 ans.

C'est depuis beaucoup plus rapide : https://www.theregister.co.uk/2018/0...pmkid_hashcat/

[polo974]

Et depuis, ça a été patché, corrigé, colmaté...

Si wpasuplicant (le "vrai coupable" utilisé sur linux et android) remettait des clés à zéro, c'est parce qu'il suivait les spécification du protocole... C'est le protocole qui était moisi.

Depuis les patchs, c'est nettement moins pire.

Et toujours aucune remarque sur le fait que cette "e-prise" ouvre un canal d'accès direct dans le réseau privé du pigeon ! ! !

[Hol314]

D'après cet article d'Ars Technica d'il y a trois jours (https://arstechnica.com/gadgets/2019...ame-before-it/), "KRACK cannot actually be fixed in WPA2, since it exploits a weakness in the 802.11i standard itself, not in a particular implementation of it. The attack can largely be mitigated by disabling EAPOL-Key frame re-transmission during key installation, which results in potentially longer times for dropped devices to re-establish connections to the network. Still, such a hassle is well worth it in light of the high security risk otherwise."

Je suppose que c'est ce que tu entends par patché, mais on ne peut pas vraiment parler de correction. En outre, il faut encore que les opérateurs Internet l'aient fait et les fabricants de routeurs aussi. SFR prend la sécurité très au sérieux puisqu'ils bloquent carrément les connexions en https à la console d'administration, par exemple.

[invite03481543]

[hs] ne pas nourrir le troll.... ne pas nourrir le troll....arghhhh, c'est dur... [/hs]

bon, en gros, ils arrivent à éteindre le chargeur, et à changer le calibre coté secteur...

mais après avoir accédé au wifi, qui n'est de nos jour une passoire que si on le veut bien.

ensuite, ils s'imaginent que les électriciens travaillent tous comme de mauvais informaticiens, donc les disjoncteurs ne seraient pas bien calibrés, les câbles seraient sous-dimensionnés, etc... (ben oui, kaspersky ne vit que grâce à la médiocrité des programmes informatiques...)

heureusement, ce n'est pas le cas, sinon, les pompiers ne sauraient plus où donner de la tête....

j'ai un peu lu leurs rapports (ici, là et en détail).

bon, ok, il y avait des failles, mais il y a un autre souci dont la sécurité n'est même pas évoqué:
leur "box" ouvre une connexion ssh -R vers un de leurs serveurs, ce qui leur ouvre le réseau wifi de votre maison ! ! !
(un ssh -R ouvre une connexion dans le sens inverse, en gros, vous déportez un port de votre machine dans le réseau distant)

C'est ça le gros problème de ces bidules connectés.

C'est vraiment donné beaucoup (trop) de crédit à ces prétendus génie en herbe.
Qui, cela dit, doivent vraiment rien avoir à faire pour s'occuper comme ça, en quand bien même ils n'ont pas les compétences suggérés.
Encore une fois il faut bien distinguer des réseaux communs et des réseaux systèmes, quand on ne sait rien du système (ou si peu) aucune chance d'aboutir à une défaillance grave, aucune.
Après on n'empêchera jamais à quiconque de publier pour se faire mousser, le propre des charlots inutiles.