Communication avec des rames de métro

Moderator: Mod

Communication avec des rames de métro

Postby TorTukiTu » Tue Sep 24, 2013 3:20 pm

Bien le bonjour à tous.

Étant parisien, j'ai pris aujourd'hui une des rames de métro automatisées.

Ces rames de métro embarquent probablement un système qui permet de gérer l'état de la rame. Démarré, portes ouvertes / fermé, vitesse, etc.

Or, pour que le réseau de métro puisse correctement fonctionner, il faut que les différentes rames puissent recevoir en permanence des informations d'un central sur l'état du réseau (ou au moins communiquer entre elles).

Ce qui implique probablement qu'il existe un cable ou un rail sur lequel le métro est toujours en contact, et qui transmet des informations à son système embarqué (je voît mal faire ca par radio dans les tunnels du métro...).

Ma question est la suivante, en imaginant qu'on puisse connaître le rail / cable qui transmet ces informations, pensez vous qu'il serait possible d'arrêter une rame en s'y branchant et en envoyant le signal qui va bien (ou tout simplement en envoyant du bruit sur le cable pour brouiller les communications) ?

Ou pire, pour des gens mal intentionnés, de forcer deux rames à entrer en collision en transmettant des informations erronées sur la position des rames ?

Pour empécher une telle chose, il faudrait que chaque rame s'authentifie avec le central (et vice versa) via du challenge response et chiffre sa communication.

Pensez vous que de telles procédures d'authent ont été prévues ?
Une personne mal intentionée ne pourrait-elle pas récupérer la clé qui va bien en se branchant directement sur le système embarqué d'un métro dans un des hangars de la ratp puis se faire passer pour une rame sur le réseau?

Avez vous par hasard des infos ou des bruits de couloir là dessus ?

je sais, je suis très curieux =)

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SHEPSHEP » Wed Sep 25, 2013 7:48 am

Salut Tortu,

C'est CapGemini qui est en charge de l'automatisation du métro Parisien.

Ils ont déployés un système SCADA 2.0

Source : hxxp://www.fr.capgemini.com/ressources/ratp

++
2ShEp
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby TorTukiTu » Wed Sep 25, 2013 10:45 am

Merci beaucoup de l'info, SHEPSHEP.

Ce qui est marqué sur wikipedia fait un peu peur quand même...

[quote:d69659394f]The network protocols used were still mostly proprietary, which led to significant security problems for any SCADA system that received attention from a hacker. Since the protocols were proprietary, very few people beyond the developers and hackers knew enough to determine how secure a SCADA installation was. Since both parties had vested interests in keeping security issues quiet, the security of a SCADA installation was often badly overestimated, if it was considered at all.[/quote:d69659394f]

J'espère que l'idée ne germera pas dans l'esprit d'un enfoiré techniquement compétent.
Ya probablement moyen de faire de l'attentat 5 étoiles...

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SHEPSHEP » Wed Sep 25, 2013 11:39 am

Oui ce n'est pas rassurant surtout quand on sait que les centres d'enrichissements d'uranium Iranien qui utilisaient un système SCADA ont été infiltrés par l'oncle Sam & Co.
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby TorTukiTu » Sun Oct 06, 2013 1:13 pm

Re, j'ai un peu plus d'infos via des gens bossant a la SNCF.

Il existe deux facons différentes de communiquer avec le train.

- Pour les grandes lignes: Il existes des balises sur le côté des voies. Lorsque le train passe a côté de ces balises, une communication s'établit. Le train s'identifie et envoie sa poisition au central, et le central envoie des informations sur l'état du réseau au train => Si la communication n'est pas chiffrée ou qu'il n'y a pas de challenge response entre le train et le central, il est possible d'émuler une borne pour envoyer des informations erronées au train.

- Pour les petites lignes à trains électriques, les infos sont envoyés au train via un cateter (techno courant porteur). Au quel cas, il faudrait se brancher au cable (attention aux tensions ! ca doit piquer !) et injecter des trames dans les infos envoyés au train. (A condition de se débrouiller pour ne pas déclancher d'alertes d'intégrité des données) On peut aussi envisager de se brancher au boitier avant que le signal ne soit intégré au courant du catéter.

Pour le métro, il y a de bonnes chances que ce soit la seconde solution qui ait été retenue.

En conclusion, dans tous les cas, on a un point d'attaque, mais c'est probablement plus facile de tripoter les données sur les grandes lignes. Il faudrait voir ce que ca donne.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SHEPSHEP » Mon Oct 07, 2013 8:04 am

Tu connais la techno des transmissions pour les grandes lignes ?
J'imagine qu’aucun cryptage lourd n'est à l'oeuvre car les temps de négociation serait un problème.
Faudrait tester avec un récepteur à large bande pour voir.

Petites lignes :

La tension des caténaires est différente suivant les lignes mais ça va de 1.5KV à 25KV donc pas le droit à l'erreur lors du branchement sinon ca va sentir le cochon grillé ^^

Le hack du boitier me semble quand même moins dangereux. Il faudrait réussir à se brancher en série sur un câble, capturer le signal et le réémettre, on serait dans le cas d'un MITM.

++
2ShEp
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby TorTukiTu » Mon Oct 07, 2013 10:54 am

[quote:dcb8069276]J'imagine qu’aucun cryptage lourd n'est à l'oeuvre car les temps de négociation serait un problème. [/quote:dcb8069276]

Ouais, je suis d'accord. Et même si tel était le cas, il est très probable que la clé de chiffrement se trouve dans le boitier. Une communication bligatoire avec le central pour le déchiffrement pose pas mal de problèmes insolubles dans ce cas (vitesse + checks liés à l'importante criticité des messages).

Conclusion, même si c'est chiffré, il doit y avoir moyen de dumper la clé en bidouillant le boitier.

[quote:dcb8069276]Faudrait tester avec un récepteur à large bande pour voir. [/quote:dcb8069276]

Ouaip.

[quote:dcb8069276] Le hack du boitier me semble quand même moins dangereux. Il faudrait réussir à se brancher en série sur un câble, capturer le signal et le réémettre, on serait dans le cas d'un MITM. [/quote:dcb8069276]

Voir même émuler un boitier si on parviens a en savoir assez sur les protocoles utilisés. A mon avis, ca va être du bon proprio. Donc faudrait faire pas mal de RE...

Après, c'est un joli projet, mais ca demande pas mal d'investissement. Et ca peut aussi sentir le cochon cramé si tu te fais choper en train de bidouiller le boitier =/.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SHEPSHEP » Mon Oct 07, 2013 2:57 pm

[quote:fef2d2169b]Voir même émuler un boitier si on parviens a en savoir assez sur les protocoles utilisés. A mon avis, ca va être du bon proprio. Donc faudrait faire pas mal de RE... [/quote:fef2d2169b]

Pas trop de doute la dessus.

[quote:fef2d2169b]Et ca peut aussi sentir le cochon cramé si tu te fais choper en train de bidouiller le boitier =/. [/quote:fef2d2169b]

Certes, dans un premier temps, le plus simple serait de "trouver" un boitier et de l'étudier tranquillement au chaud (fréquence, protocole, cryptage, etc...).

Concernant le récepteur à large bande, cet article est très intéressant => [url]hxxp://www.spiwit.net/2012/08/13/hack-dune-cle-usb-tnt-pour-en-faire-un-sdr/[/url]
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby TorTukiTu » Mon Oct 07, 2013 7:55 pm

[quote:1ce4856028]Concernant le récepteur à large bande[/quote:1ce4856028]

J'ai déja tout ce qu'il faut chez moi ;). Mais je pense pas que je m'investirai dans ce projet. C'est un peu trop tendu pour un papa...

Par contre, si quelqu'un chope un dump ou une des ces boiboites je serai ravi d'y jeter un oeuil si mes talents de reverseur peuvent aider.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby SHEPSHEP » Tue Oct 08, 2013 7:41 am

[quote:64a9239908]C'est un peu trop tendu pour un papa... [/quote:64a9239908]
Oui effectivement.

Bon ben reste plus qu'a espérer qu'un explorateur urbain passe par la parce que pour ma part je suis bien loin de la capitale à moins que la techno du métro Breton soit similaire malgré qu'il n'y est pas de caténaires hautes mais surement un contact à la base des rames.

Si tu as d'autre infos sur la fabrication d'un récepteur à large bande, je suis preneur !
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby SHEPSHEP » Mon Nov 04, 2013 8:58 am

[url]hxxp://www.datasecuritybreach.fr/la-vulnerabilite-des-systemes-scada-une-decouverte-mondiale-et-une-realite-francaise/[/url]

Un bon gros gruyère ce système.

PS les admins : Le système de recherche est sensible à la casse, c'est pas ce qu'il y a de plus pratique.
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null


Return to Hardware

Who is online

Users browsing this forum: No registered users and 4 guests

cron