Un constructeur ferroviaire polonais poursuit en justice les hackers qui ont divulgué ses pratiques anti-réparation

Vous vous souvenez de 2023, quand des hackers ont divulgué (et corrigé) un logiciel anti-réparation malveillant dans des trains polonais ? Eh bien, le constructeur, Newag, récidive.

Rien qu’au mois de juin de cette année, trois nouveaux trains se sont bloqués en Pologne. Newag a d’abord refusé de les débloquer, mais a fini par céder. Mais ça empire. Énormément. Newag poursuit maintenant en justice l’atelier de réparation polonais SPS qui avait réparé les premiers trains, et s’en prend également aux membres individuels du groupe de hackers éthiques, Dragon Sector, qui avaient étudié le software des trains et découvert les mesures anti-réparation de Newag. Au total, les deux plaintes réclament l’équivalent de plus de 2,5 millions d’euros.

Mais d’abord, voyons comment on en est arrivé là.

Tentative de réparation tierce ? On vous bloque !

En 2022, des membres de Dragon Sector sont appelés par un atelier de réparation de trains, Serwis Pojazdów Szynowych (SPS), pour comprendre pourquoi leurs trains refusent de fonctionner. L’analyse du code révèle un piège logiciel qui désactive les trains s’ils se trouvent près d’un atelier de réparation qui n’est pas géré par le fabricant, Newag. Mais Newag utilise une méthode plutôt imprécise pour déterminer si les trains sont dans un atelier de réparation rival, ce qui a eu des conséquences inattendues.

La version originale du mécanisme de verrouillage semble compter combien de jours un train reste inutilisé. S’il dépasse une limite (initialement dix jours), il bloque le train.

Ce verrouillage s’est déclenché dans les premiers trains entretenus par SPS (qui n’avait aucune idée de ce qui se passait réellement) et Newag prétendait que les trains s’étaient bloqués parce que les techniciens de réparation avaient cassé quelque chose.

Quelques semaines plus tard, deux autres trains attendent d’être envoyés chez SPS (parce que les locaux de SPS sont pleins de trains bloqués). Dès que SPS libère de l’espace, le propriétaire des trains, Koleje Dolnośląskie, découvre qu’ils ne démarrent plus non plus, montrant exactement les mêmes symptômes que ceux qui se sont bloqués chez SPS. C’est à ce moment-là, nous raconte Michał Kowalczyk de Dragon Sector, que la version des événements de Newag commence à paraître suspecte. Le constructeur prétend que les trains chez SPS sont tombés en panne à cause d’une erreur de maintenance. Mais ces trains nouvellement bloqués ne se sont jamais approchés de SPS, et ils sont bloqués exactement pareil.

Ces deux trains sont ensuite réparés par Newag, mais sans révéler ce qui a réellement été réparé. Quand l’équipe de Dragon Sector les analyse par la suite, elle découvre que le système de verrouillage a été mis à jour pour attendre 21 jours au lieu de dix.

Et cerise sur le gâteau : Newag a également ajouté un nouveau composant GPS. Celui-ci semble vérifier si les trains sont près d’emplacements d’ateliers connus avant de désactiver les trains. Et bien sûr, cette astuce se retourne aussi contre Newag. En effet, le constructeur intègre des logiciels légèrement différents dans chaque lot de fabrication, donc chaque compagnie ferroviaire achète des trains légèrement différents. Et un lot du 45WE EMU (unité électrique multiple, le type de train qui n’a pas de moteur séparé à l’avant pour tirer les voitures de passagers), s’éteint automatiquement en passant par la gare de Mińsk Mazowiecki. Des trains pleins de passagers se retrouvent bloqués.

Vous pouvez probablement deviner ce qui suit. Newag nie non seulement avoir ajouté un tel logiciel, mais prétend qu’il a été ajouté par des hackers, insinuant que ces derniers l’auraient fait pour le compte d’une entreprise rivale.

Newag s’est donné beaucoup de mal, mais les bénéfices sont énormes. En guise d’exemple, Michał Kowalczyk explique que Newag « facturait environ 25 000 € par déverrouillage » dans le passé. Une somme d’argent colossale, c’est sûr, mais Newag visait peut-être aussi à monopoliser le marché de l’entretien des trains Impuls, qui rapporte environ 35 millions d’euros par an. Imaginez un peu devoir payer pour faire débloquer votre téléphone portable par l’opérateur.

Les verrouillages logiciels sont-ils légaux ?

Heureusement, les lois européennes semblent généralement favoriser ce type de rétro-ingénierie. Plusieurs jugements de la Cour de justice de l’Union européenne (CJUE) ont statué en faveur de la rétro-ingénierie contre le droit d’auteur. L’un d’eux statue spécifiquement que décompiler un logiciel afin de trouver et corriger des bugs n’enfreint pas le droit d’auteur. Un autre jugement, en défaveur de Sony, permet aux fabricants d’accessoires tiers pour PlayStation Portable d’interférer avec le code de jeu pendant qu’il s’exécute, sans violer le droit d’auteur.

Si vous lisez certains des jugements CJUE ci-dessus, vous verrez qu’ils sont moins clairs sur le fait qu’altérer un logiciel soit explicitement autorisé ou non. Dans un autre cas, une compagnie de trains différente (Koleje Mazowieckie) a habilement contourné le problème en déconnectant simplement le récepteur GPS. S’il n’y a rien d’autre, cela prouve que même les verrouillages numériques les plus sophistiqués peuvent encore être battus grâce à une bonne vieille faille analogique. 

Ce qui nous amène au jour d’aujourd’hui. Newag porte plainte contre SPS, ainsi que Michał, Sergiusz et Jakub, les membres de l’équipe Dragon Sector qui ont dévoilé au grand jour les mesures anti-réparation.

Newag a des chances de l’emporter ?

Newag porte plainte devant le tribunal de Varsovie et réclame 6 453 000 PLN (1,5 million d’euros) pour violation du droit d’auteur et concurrence déloyale. Le constructeur porte aussi plainte devant le tribunal de Gdańsk, exigeant 5 100 000 PLN (1,2 million d’euros) pour concurrence déloyale et atteinte aux droits personnels.

Les arguments sont-ils solides ? Une lecture profane des lois européennes ci-dessus semble certainement indiquer que vous pouvez exploiter un logiciel à des fins de diagnostic.

Mais c’est aussi un peu confus. Newag prétend que le groupe Dragon Sector a mis en danger la sécurité des passagers en modifiant le logiciel sans expérience appropriée. Mais Newag se retourne ensuite et prétend que Dragon Sector n’a pas du tout modifié le logiciel. Il souligne que la loi européenne n’autorise la rétro-ingénierie de logiciel que pour corriger des bugs. Et si Dragon Sector n’a pas réellement modifié le logiciel, il ne peut pas avoir corrigé de bugs, auquel cas la rétro-ingénierie doit être illégale.

Je ne suis pas avocat, ni dans la vraie vie ni sur Internet, mais cela me semble être des sottises contradictoires. En creusant dans les dossiers de l’affaire, on dirait vraiment que Newag essaie d’effrayer tout le monde. Sinon, pour quelle autre raison s’en prendre à qui a fait de l’exploration numérique ?

Ce feuilleton montre à quel point la réglementation et la législation sont importantes pour protéger les consommatrices et consommateurs, qu’il s’agisse d’individus comme nous, ou d’entreprises qui sont intimidées pour se conformer à des exigences plutôt odieuses. En fait, ce sont les entreprises qui importent le plus ici. Si vous piratez votre voiture pour pouvoir la réparer vous-même, alors personne ne le remarquera. Mais si votre atelier de réparation local essaie de faire la même chose, peut-être pour utiliser des pièces de rechange tierces, alors ce type d’intimidation peut leur faire mettre la clé sous le paillasson.

L’UE est loin d’être parfaite à cet égard. Elle a son lot de lois insensées sur le droit d’auteur, mais en général elle est beaucoup plus favorable aux droits des consommatrices et consommateurs que les États-Unis. En attendant, iFixit continue de se battre pour le droit à la réparation, qui conquiert lentement les lois du monde entier, État par État, pays par pays. Sans un meilleur cadre législatif, Big Corporate continuera d’utiliser les lois actuelles pour extorquer autant d’argent que possible de quiconque ressemble à une cible faible.