Les agriculteurs du monde entier se sont tournés vers le piratage de tracteurs afin de pouvoir contourner les serrures numériques que les constructeurs imposent à leurs véhicules. Comme le “bouclage” de la pompe à insuline et le jailbreak de l’iPhone, cela permet aux agriculteurs de modifier et de réparer l’équipement coûteux qui est vital pour leur travail, comme ils le feraient avec des tracteurs analogiques. Lors de la conférence sur la sécurité DefCon à Las Vegas samedi, le hacker connu sous le nom de Sick Codes présente un nouveau jailbreak pour les tracteurs John Deere & Co. qui lui permet de prendre le contrôle de plusieurs modèles via leurs écrans tactiles.
La découverte souligne les implications sécuritaires du mouvement du droit à la réparation. L’exploitation du tracteur découverte par Sick Codes n’est pas une attaque à distance, mais les vulnérabilités impliquées représentent des insécurités fondamentales dans les appareils qui pourraient être exploitées par des acteurs malveillants ou potentiellement enchaînées avec d’autres vulnérabilités. La sécurisation de l’industrie agricole et de la chaîne d’approvisionnement alimentaire est cruciale, comme l’ont montré des incidents tels que l’attaque du rançongiciel JBS Meat en 2021. Dans le même temps, cependant, des vulnérabilités comme celles découvertes par Sick Codes aident les agriculteurs à faire ce qu’ils doivent faire avec leur propre équipement.
John Deere n’a pas répondu à la demande de commentaires de WIRED sur la recherche.
Sick Codes, un Australien qui vit en Asie, a présenté à DefCon en 2021 des interfaces de programmation d’applications de tracteurs et des bogues du système d’exploitation. Après avoir rendu ses recherches publiques, les fabricants de tracteurs, dont John Deere, ont commencé à corriger certains des défauts. “Le côté droit à la réparation était un peu opposé à ce que j’essayais de faire”, a-t-il déclaré à WIRED. « J’ai entendu parler de certains agriculteurs ; un gars m’a envoyé un e-mail et m’a dit ‘Tu fous en l’air toutes nos affaires !’ J’ai donc pensé que je mettrais mon argent là où je parle et prouverais aux agriculteurs qu’ils peuvent enraciner les appareils.”
Publicité
Cette année, Sick Codes dit que s’il est principalement préoccupé par la sécurité alimentaire mondiale et l’exposition qui découle des équipements agricoles vulnérables, il voit également une valeur importante à laisser les agriculteurs contrôler entièrement leur propre équipement. « Libérez les tracteurs ! il dit.
Après des années de polémique aux États-Unis sur le « droit de réparer » le matériel que l’on achète, le mouvement semble avoir atteint un tournant. L’année dernière, la Maison Blanche a publié un décret ordonnant à la Federal Trade Commission d’intensifier les efforts d’application des pratiques telles que l’annulation des garanties pour les réparations extérieures. Cela, combiné à l’adoption par l’État de New York de sa propre loi sur le droit à la réparation et à la pression des militants créatifs, a généré un élan sans précédent pour le mouvement.
Face à une pression croissante, John Deere a annoncé en mars qu’il mettrait davantage de logiciels de réparation à la disposition des propriétaires d’équipements. La société a également déclaré à l’époque qu’elle publierait une «solution client améliorée» l’année prochaine afin que les clients et les mécaniciens puissent télécharger et appliquer eux-mêmes les mises à jour logicielles officielles pour l’équipement Deere, plutôt que de demander à John Deere d’appliquer unilatéralement les correctifs à distance ou d’obliger les agriculteurs à apporter produits aux concessionnaires agréés.
« Les agriculteurs préfèrent les équipements plus anciens simplement parce qu’ils veulent de la fiabilité. Ils ne veulent pas que les choses tournent mal au moment le plus important de l’année, lorsqu’ils doivent retirer des choses du sol », déclare Sick Codes. « C’est donc ce que nous devrions tous vouloir aussi. Nous voulons que les agriculteurs puissent réparer leur matériel en cas de problème, et maintenant cela signifie être en mesure de réparer ou de prendre des décisions concernant le logiciel de leurs tracteurs.
Pour développer son jailbreak, Sick Codes a mis la main sur de nombreuses générations de consoles tactiles de commande de tracteur John Deere. Mais finalement, il s’est concentré sur quelques modèles, dont les modèles 2630 et 4240 largement déployés, pour l’exploit qu’il présente. Il a fallu expérimenter sur un certain nombre de cartes de circuits imprimés à écran tactile pendant plusieurs mois pour trouver des contournements aux exigences d’authentification du concessionnaire John Deere, mais finalement Sick Codes a pu effectuer une vérification de redémarrage pour restaurer l’appareil comme s’il était accédé par un concessionnaire certifié.
Publicité
Il a constaté que lorsque le système pensait se trouver dans un tel environnement, il offrait plus de 1,5 Go de journaux destinés à aider les fournisseurs de services autorisés à diagnostiquer les problèmes. Les journaux ont également révélé le chemin vers une autre attaque temporelle potentielle qui pourrait accorder un accès plus approfondi. Sick Codes a soudé les contrôleurs directement sur le circuit imprimé et a finalement obtenu son attaque pour contourner les protections du système.
“J’ai lancé l’attaque et deux minutes plus tard, un terminal apparaît”, déclare Sick Codes à propos du programme utilisé pour accéder à l’interface de ligne de commande d’un ordinateur. “J’avais un accès root, ce qui est rare dans le pays de Deere.”
L’approche nécessite un accès physique au circuit imprimé, mais Sick Codes affirme qu’il serait possible de développer un outil basé sur les vulnérabilités pour exécuter plus facilement le jailbreak. Il se dit surtout curieux de voir comment John Deere va réagir. Il ne sait pas dans quelle mesure l’entreprise peut corriger les failles sans mettre en œuvre un cryptage complet du disque, un ajout qui signifierait une refonte importante du système dans les nouvelles conceptions de tracteurs et ne serait probablement pas déployé dans les équipements existants.
La première priorité ? Exécuter Doom personnalisé sur le thème de la ferme sur le tracteur, bien sûr.
Cette histoire est apparue à l’origine sur wired.com.
