C'est un titre putaclic. En réalité, aucune Tesla n'était bloquée, c'est une "facilité" qui était bloquée, juste pas de chance pour ceux qui avaient laissé la fonctionnalité "à l'ancienne" (une carte RFID plutôt que son smartphone) à la maison qui se retrouvaient à devoir attendre.
Par contre, ça montre un point de défaillance unique pour une fonctionnalité qui n'en aurait pas absolument besoin (le smartphone est connecté en bluetooth avec la voiture, donc peut communiquer en direct plutôt que besoin de réseau, de serveur…), et ça commence à être gonflant ces fonctionnalités qui demandent un accès réseau et la dispo d'un serveur alors qu'on pourrait bien vivre pareil sans ces intermédiaire… Mais à part une loi "doit fonctionner hors connexion" (qui n'arrivera pas de si tôt…), pas facile de faire comprendre aux entreprise le besoin quand les gens s'en foutent (ça marche à 99.999%, le 0.001% HS devient normal…).
Posté par mahikeulbody .
Évalué à 4.
Dernière modification le 24 novembre 2021 à 10:39.
Un objet peut être connecté sans dépendre d'un serveur sur Internet hébergé à l'autre bout du monde.
Mon exigence première dans ce domaine est l'existence d'une API permettant l'interaction avec l'objet connecté sans avoir à passer par le cloud du fabricant ou, à la rigueur, la possibilité de mettre un firmware alternatif. Et en fait ça existe plus souvent qu'on ne l'imagine.
Mais pas pour les Tesla. D'où la nécessité de bien choisir son objet connecté. Le problème c'est que ce genre d'information passe par dessus la tête de bien des gens (ce qui est tout à fait normal).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Et en fait ça existe plus souvent qu'on ne l'imagine.
Et bien si tu en connais pour les prises électriques connectées par exemple, ça m'intéresse. Parce que tout ce que je trouve nécessite d'installer une appli constructeur et je n'en veux pas. Là j'en étais à étudier les "Relay Channel Module Boards" pour voir si je veux avoir une prise connectée à une API maison par le biais d'un Raspberry
J'ai une HS100 de TP-Link (wifi) et des prises connectées Ikea (Zigbee) que j'utilise sous Home Assistant
Une façon de chercher est de vérifier si une intégration domotique existe (=> existence d'une API ou d'une compatibilité avec un protocole tel que MQTT). Par exemple ici : https://www.home-assistant.io/integrations/#all
NB. Quand il y a une API, il est prudent de ne pas faire de mise à jour du firmware de l'objet connecté sans s'assurer au préalable (forums) que le support de l'API n'a pas changé, voire carrément disparu. C'est arrivé avec TP-Link justement même si je crois qu'ils sont revenus en arrière.
Dans ces cas là, il y a toujours moyen de se servir du Bluetooth avec le smartphone qui permet de déverrouiller le véhicule, ou tout simplement d’utiliser la clé physique fournie.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Je crois que c'est bien le problème qui est relevé ici: pourquoi donc est-ce que le Téléphone et la voiture ont besoin d'un serveur à l'autre bout du monde s'ils arrivent déjà à se mettre en lien avec Bluetooth?
Dans le même ordre d'idée: rends-toi avec une Tesla dans une zone sans couverture réseau, et oh surprise: tu ne peux plus déverrouiller la voiture! Rien n'est en panne, mais le serveur distant n'est plus joignable, c'est ballot.
Oui, il faut toujours avoir une carte avec soi (comme une clé de voiture). Je suppose qu'à force de pouvoir utiliser la voiture rien qu'en ayant leur téléphone, certains conducteurs de Tesla oublient la carte à la maison.
Peut-être qu'aucune n'était bloquée. N'empêche que ça dépend de l'usage des gens. Si 90% des conducteurs utilisent l'application et ont rangé leur carte RFID dans un placard de leur cave, l'effet est là : ils ne peuvent pas utiliser leur voiture brique.
Je reste toujours perplexe face au déverrouillage sans actionneur mécanique (c'est-à-dire de proximité comme la RFID), parce que les attaques par répéteur me semblent trop faciles… Alors que c'est vraiment compliqué de mettre un bouton sur une clé (ou carte) pour enclencher le dialogue de déverrouillage ?
Y a des contres-mesures qui existent pour les attaques par répéteur ?
Y a des contres-mesures qui existent pour les attaques par répéteur ?
Oui, en vérifiant le temps de réponse (avec un répéteur, il sera augmenter). Mais ça ne marche pas avec un répéteur proche (ou alors, il faut être tellement strict sur les timing que ça invalide la plupart des utilisations légitimes et il te faut 42 essais pour ouvrir ta voiture.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Je reste toujours perplexe face au déverrouillage sans actionneur mécanique (c'est-à-dire de proximité comme la RFID), parce que les attaques par répéteur me semblent trop faciles… Alors que c'est vraiment compliqué de mettre un bouton sur une clé (ou carte) pour enclencher le dialogue de déverrouillage ?
Non c'est même assez simple, on peut tout à fait ajouter un contacteur sur la piste de l'antenne NFC (ou RFID); simplement avec les technologies de champs proche ça n'a pas trop d’intérêt je trouve, pour dialoguer avec il faut être très proche, donc en capacité d'actionner un bouton par exemple. De plus la sécurité des chip nfc un peu sérieux (pas une mifare classic quoi) n'est vraiment pas mauvaise.
Limite la techno qui peut faire une différence c'est l'identification par empreinte digitale (NXP en fait pour des cartes à puce bancaires par exemple).
Pour contrer les attaques par répéteur je ne sais pas trop, j'ai déjà vu un équipement (une station d'enregistrement de carte) qui faisait des tests plus ou moins orthodoxes (avec des commandes APDU et du magouillage au niveau du protocole) pour vérifier qu'on lui présentait bien une vrai carte certifiée. Il y avait également des tests sur les temps de réponse et de transmission, ainsi que sur les temps de calculs de certaines fonctions (toujours pour s'assurer au maximum d'avoir le bon produit en face).
Mais bon, rien n'est jamais sur à 100% (un dispositif mécanique non plus ceci dit);
Après c'est tout à fait possible de faire ce genre d'auth sans le réseau normalement.
Bah… C'est justement le problème des répéteurs : un signal suffisamment puissant et une bonne antenne pour aller chercher le signal de la puce posée dans le panier de l'entrée de la maison, à 3m de la voiture garée dans l'allée.
Un bouton, ou même un contacteur, qui est effectivement très efficace et peu coûteux, ça évite de se faire voler sans effraction.
Mais oui, ça ne protège pas de tout quand même. Mais le NFC me posera toujours un problème tant qu'il sera impossible de savoir pour son propriétaire si la puce a communiqué quelque chose :
Carte à puce : au contact de broches après insertion par son propriétaire
Télécommande de voiture : appui sur un bouton par son propriétaire
NFC/RFID : lors de l'envoi d'un signal suffisamment puissant par le lecteur
Dans le dernier cas, ce n'est pas le propriétaire qui décide, mais le lecteur.
Y a des contres-mesures qui existent pour les attaques par répéteur ?
Alors, ce vers quoi vont les constructeurs, c'est un accéléromètre dans les clés de voiture:
Si la clé ne bouge pas, on coupe le signal. Si la clé bouge, on remet le signal en route.
Si tu gardes la clé dans ta poche toute la journée et que tu marches dans la maison, ça ne va pas le faire, mais en même temps je crois que le répéteur aussi a besoin de stabilité pour aller choper le signal.
…mais il semble que ça en touche une sans bouger l'autre à la plupart des gens qui achètent une voiture sans se préoccuper du fait que bon nombre sont maintenant connectées avec le fabricant. Et donc aspirent toute information reliée à nos déplacement et stationnement. Voire plus, par exemple via les outils de reconnaissance vocales.
# La réalité : "toutes" --> "aucune"
Posté par Zenitram (site web personnel) . Évalué à 9.
C'est un titre putaclic. En réalité, aucune Tesla n'était bloquée, c'est une "facilité" qui était bloquée, juste pas de chance pour ceux qui avaient laissé la fonctionnalité "à l'ancienne" (une carte RFID plutôt que son smartphone) à la maison qui se retrouvaient à devoir attendre.
Par contre, ça montre un point de défaillance unique pour une fonctionnalité qui n'en aurait pas absolument besoin (le smartphone est connecté en bluetooth avec la voiture, donc peut communiquer en direct plutôt que besoin de réseau, de serveur…), et ça commence à être gonflant ces fonctionnalités qui demandent un accès réseau et la dispo d'un serveur alors qu'on pourrait bien vivre pareil sans ces intermédiaire… Mais à part une loi "doit fonctionner hors connexion" (qui n'arrivera pas de si tôt…), pas facile de faire comprendre aux entreprise le besoin quand les gens s'en foutent (ça marche à 99.999%, le 0.001% HS devient normal…).
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 10.
C'est le problème très réel des objets connectés en fait.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par ptit_poulet . Évalué à 2.
Un objet peut être connecté sans dépendre d'un serveur sur Internet hébergé à l'autre bout du monde.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Pol' uX (site web personnel) . Évalué à 9.
Oui mais quand on parle de l'expression idomatique « objet connecté » on fait surtout référence à des briques en sursit.
Adhérer à l'April, ça vous tente ?
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par mahikeulbody . Évalué à 4. Dernière modification le 24 novembre 2021 à 10:39.
Mon exigence première dans ce domaine est l'existence d'une API permettant l'interaction avec l'objet connecté sans avoir à passer par le cloud du fabricant ou, à la rigueur, la possibilité de mettre un firmware alternatif. Et en fait ça existe plus souvent qu'on ne l'imagine.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 4.
Mais pas pour les Tesla. D'où la nécessité de bien choisir son objet connecté. Le problème c'est que ce genre d'information passe par dessus la tête de bien des gens (ce qui est tout à fait normal).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Faya . Évalué à 3.
Et bien si tu en connais pour les prises électriques connectées par exemple, ça m'intéresse. Parce que tout ce que je trouve nécessite d'installer une appli constructeur et je n'en veux pas. Là j'en étais à étudier les "Relay Channel Module Boards" pour voir si je veux avoir une prise connectée à une API maison par le biais d'un Raspberry
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par mahikeulbody . Évalué à 5.
J'ai une HS100 de TP-Link (wifi) et des prises connectées Ikea (Zigbee) que j'utilise sous Home Assistant
Une façon de chercher est de vérifier si une intégration domotique existe (=> existence d'une API ou d'une compatibilité avec un protocole tel que MQTT). Par exemple ici : https://www.home-assistant.io/integrations/#all
ou alors ici, pour les objets Zigbee : https://www.zigbee2mqtt.io/supported-devices/
NB. Quand il y a une API, il est prudent de ne pas faire de mise à jour du firmware de l'objet connecté sans s'assurer au préalable (forums) que le support de l'API n'a pas changé, voire carrément disparu. C'est arrivé avec TP-Link justement même si je crois qu'ils sont revenus en arrière.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 1.
Connectés où ? à quoi ? comment ? pour quels bénéfices et conséquences ?
Parce-que mon four à micro-onde est connecté aussi de mon point de vue.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par claudex . Évalué à 5.
Selon d'autres sources, le Bluetooth était bien fonctionnel, c'est uniquement le déverouillage à distance qui ne marchait pas.
https://www.journaldugeek.com/2021/11/21/grosse-panne-de-lapplication-qui-commande-louverture-et-le-demarrage-des-voitures-tesla/
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Maclag . Évalué à 6.
Je crois que c'est bien le problème qui est relevé ici: pourquoi donc est-ce que le Téléphone et la voiture ont besoin d'un serveur à l'autre bout du monde s'ils arrivent déjà à se mettre en lien avec Bluetooth?
Dans le même ordre d'idée: rends-toi avec une Tesla dans une zone sans couverture réseau, et oh surprise: tu ne peux plus déverrouiller la voiture! Rien n'est en panne, mais le serveur distant n'est plus joignable, c'est ballot.
Oui, il faut toujours avoir une carte avec soi (comme une clé de voiture). Je suppose qu'à force de pouvoir utiliser la voiture rien qu'en ayant leur téléphone, certains conducteurs de Tesla oublient la carte à la maison.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par claudex . Évalué à 3.
Le but est de pouvoir facilement l'ouvrir pour quelqu'un d'autre (et c'est sans doute plus réactif que le bluetooth).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Maclag . Évalué à 3.
Pourquoi ne pas proposer les 2?
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par claudex . Évalué à 3.
Ben, c'est le cas justement de ce que j'ai compris. C'est juste l'article qui exagère.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Glandos . Évalué à 4.
Peut-être qu'aucune n'était bloquée. N'empêche que ça dépend de l'usage des gens. Si 90% des conducteurs utilisent l'application et ont rangé leur carte RFID dans un placard de leur cave, l'effet est là : ils ne peuvent pas utiliser leur
voiturebrique.Je reste toujours perplexe face au déverrouillage sans actionneur mécanique (c'est-à-dire de proximité comme la RFID), parce que les attaques par répéteur me semblent trop faciles… Alors que c'est vraiment compliqué de mettre un bouton sur une clé (ou carte) pour enclencher le dialogue de déverrouillage ?
Y a des contres-mesures qui existent pour les attaques par répéteur ?
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par claudex . Évalué à 5.
Oui, en vérifiant le temps de réponse (avec un répéteur, il sera augmenter). Mais ça ne marche pas avec un répéteur proche (ou alors, il faut être tellement strict sur les timing que ça invalide la plupart des utilisations légitimes et il te faut 42 essais pour ouvrir ta voiture.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Aldebaran (site web personnel) . Évalué à 3.
Non c'est même assez simple, on peut tout à fait ajouter un contacteur sur la piste de l'antenne NFC (ou RFID); simplement avec les technologies de champs proche ça n'a pas trop d’intérêt je trouve, pour dialoguer avec il faut être très proche, donc en capacité d'actionner un bouton par exemple. De plus la sécurité des chip nfc un peu sérieux (pas une mifare classic quoi) n'est vraiment pas mauvaise.
Limite la techno qui peut faire une différence c'est l'identification par empreinte digitale (NXP en fait pour des cartes à puce bancaires par exemple).
Pour contrer les attaques par répéteur je ne sais pas trop, j'ai déjà vu un équipement (une station d'enregistrement de carte) qui faisait des tests plus ou moins orthodoxes (avec des commandes APDU et du magouillage au niveau du protocole) pour vérifier qu'on lui présentait bien une vrai carte certifiée. Il y avait également des tests sur les temps de réponse et de transmission, ainsi que sur les temps de calculs de certaines fonctions (toujours pour s'assurer au maximum d'avoir le bon produit en face).
Mais bon, rien n'est jamais sur à 100% (un dispositif mécanique non plus ceci dit);
Après c'est tout à fait possible de faire ce genre d'auth sans le réseau normalement.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Glandos . Évalué à 4.
Bah… C'est justement le problème des répéteurs : un signal suffisamment puissant et une bonne antenne pour aller chercher le signal de la puce posée dans le panier de l'entrée de la maison, à 3m de la voiture garée dans l'allée.
Un bouton, ou même un contacteur, qui est effectivement très efficace et peu coûteux, ça évite de se faire voler sans effraction.
Mais oui, ça ne protège pas de tout quand même. Mais le NFC me posera toujours un problème tant qu'il sera impossible de savoir pour son propriétaire si la puce a communiqué quelque chose :
Dans le dernier cas, ce n'est pas le propriétaire qui décide, mais le lecteur.
[^] # Re: La réalité : "toutes" --> "aucune"
Posté par Maclag . Évalué à 5.
Alors, ce vers quoi vont les constructeurs, c'est un accéléromètre dans les clés de voiture:
Si la clé ne bouge pas, on coupe le signal. Si la clé bouge, on remet le signal en route.
Si tu gardes la clé dans ta poche toute la journée et que tu marches dans la maison, ça ne va pas le faire, mais en même temps je crois que le répéteur aussi a besoin de stabilité pour aller choper le signal.
# Ça parle souvent de vie privée...
Posté par Psychofox (Mastodon) . Évalué à 6.
…mais il semble que ça en touche une sans bouger l'autre à la plupart des gens qui achètent une voiture sans se préoccuper du fait que bon nombre sont maintenant connectées avec le fabricant. Et donc aspirent toute information reliée à nos déplacement et stationnement. Voire plus, par exemple via les outils de reconnaissance vocales.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.