Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Hacking de Tesla – Vrai ou mytho ?

Avant d’entrer dans le vif du sujet, sachez que je n’ai aucune idée de la véracité de cet article. Ayant été posté le 6 avril, ça ne devrait pas être un poisson d’avril. Mais n’ayant pas de Tesla pour vérifier, je laisse les experts en débattre. Moi j’ai trouvé ça plutôt cool et comme Mulder, « I want to believe » !

Il y a quelque mois, cet internaute a donc décidé de hacker sa voiture Tesla Model S. Après 2 mois de préparation, il s’est finalement lancé et a publié un premier article sur son blog.

Il a commencé par ouvrir une petite trappe côté conducteur dans laquelle se cache un connecteur blanc qui n’est rien d’autre qu’un cable réseau avec un embout propriétaire made in Tesla.

Il a donc fabriqué son propre cable réseau compatible avec ce truc :

I honestly didn't make it myself... I'm terrible with soldering irons.

 

Mais en le branchant, ça n’a rien donné. Il a donc continué son démontage, en dégageant le tableau de bord et est retombé sur un second connecteur (noir cette fois) qui lui a permis de mettre la voiture en mode usine.

Haha I'm awesome

A partir de là, via à nouveau le connecteur blanc, il a pu accéder à l’ordinateur de bord et a activé le mode développeur. Cela lui a donné accès à de nouveaux écran comme celui-ci qui donne des indications thermiques sur la voiture.

It was all animated and shit. Whoever made this screen went all out. He probably was like "I'm seriously going to make the best screen on the entire CID." All the other devs were probably upset at his overachieving ass.

Il ne lui restait plus alors qu’à rooter la voiture… Il a donc lancé via son ordinateur portable un script de son cru qui a pété l’accès root (attaque par dictionnaire semble-t-il)

Apparently someone didn't bother reading the carefully prepared memo on commonly-used passwords.

D’après ce que je comprends, le mot de passe root serait « God ». Je trouve ça hyper louche, d’où mon gros doute sur la véracité de tout ceci… Ça semble beaucoup trop beau pour être vrai.

Le hacker (ou le mytho ?) nous promet une suite à son article où il va commencer à s’amuser avec la voiture. J’attends donc d’en savoir un peu plus avant de décider si c’est un fake ou non.

En attendant, c’est assez amusant. Puis si c’est un fake, le mec s’est quand même bien fait chier pour démonter tout son tableau de bord pour faire ses photos, alors rien que pour ça, respect ! 😉


Réponses notables

  1. hum ça pourrait sentir le fake comme la gars qui avait soit-disant hacké les radards fixes grâce à une IP supposée être écrite dessus.

    La question que je me pose c’est surtout au sujet du câble qui semble être un simple connecteur Barell 2 conducteurs d’une côté et RJ45 de l’autre et je me demande bien ce qu’il peut faire passer comme type de signal, c’est pas du série il en faudrait 3 RX/TX/GND alors qu’il dit que c’est du CAT 6 avec juste un embout propriétaire mais du coup il manque pas mal de fils…

    Ensuite il dit “I will finally get access to the network and can perform the hack itself. Unfortunately, it’s currently locked down behind a VPN that requires a password to unlock” … un VPN ???

    Donc comme on dit dans ce cas-là, le doute m’habite :wink:

  2. Zumb says:

    Ce n’est probablement pas un fake, ou du moins, il ne serait absolument pas surprenant que ça soit possible.
    La législation oblige la standardisation des prises de diagnostiques sur les voitures, et paradoxalement, indirectement, sa non sécurisation, afin de permettre les réparations par les garages hors réseau.
    Du coup, n’importe qui peut avoir un accès complet à un voiture non Tesla, via la prise de diag, pourvu qu’il ai un portable, le câble kivabien, et le soft aussi trouvable sur le net facile.
    Il n’y a aucune sécurisation, pas de mot de passe, et la clé n’est pas forcément nécessaire. Sur les bagnoles sans serrure, on peut même reprogrammer une nouvelle clé comme ça.
    La ou c’est plus discutable, c’est d’appeler ça un hack…

  3. troll says:

    En même temps tesla, c’est énormément de technologie logiciel embarquée, serais pas entonné qu’un jour des gars arrivent a hack et a contrôler a distance via une faille de son wifi (ou autre) a distance…!

  4. L’entete “Hacking the gibson” et les MDP sont eux tirés du film “Hackers” de 1995… C’est tout de meme bizarre…
    cid ==> Debian, et apres, mention de Ubuntu…

    On verra si cela se confirme, ou non…

  5. Mwais, Ubuntu sur la tesla ? Password god ? Le cable deux broches avec du RJ45 ? Macgyver le retour ! :smile:

  6. Je suis d’accord. Ubuntu sur la Tesla ca me parait gros.

  7. Nibel says:

    Debian c’est sid et non CID (cid) qui est le nom de l’écran tactile… L’auteur de l’article original l’a bien mentionné.

    Affaire à suivre mais en l’état y a rien pour affirmer que c’est vrai ou faux mais en l’absence de son fameux “obtain_root”, on ne peut que supposer que c’est du flan.

    Puis le bruteforcing par dictionnaire qui test seulement 4 mots même pas dans l’ordre alphabétique… bon on peut se dire qu’il a fait ça pour la photo mais ça me paraît gros…

  8. GERTY says:

    Ouais, on peut se poser des questions sur la véracité de ce hack.

    Par contre, il y a bien eu deux hackers qui ont réussi à hacker une voiture Tesla Model S, l’un s’appelle Marc Rogers et l’autre Kevin Mahaffey, ils ont présenté leurs travaux à la conférence de DEF CON 23 à Las Vegas, peut-être que l’internaute a essayé de se baser sur leurs travaux, allez savoir.

    Si vous avez 49 minutes de votre temps, voici la vidéo et les explications de leur hack.
    DEF CON 23 - Marc Rogers and Kevin Mahaffey - How to Hack a Tesla Model S

    A la fin, on voit un employé de Telsa, donc l’entreprise a corrigé (patché) leur système embarqué par rapport à leurs travaux.

  9. oui mais là ça ressemble pas à une prise ODB du tout

  10. symp says:

    Ubuntu, ca ne reste qu’une distribution GNU/Linux basé sur Debian… Ubuntu server est une version dites “headless”, c’est à dire sans serveur graphique, ni gestionnaire de login, ni gestionnaire de bureau…
    Ubuntu propose certaines techno par défaut contrairement à Debian (appArmor, p-e), mais surtout Cannonical dispose de beaucoup plus de flexibilité pour collaborer avec des boîtes (c’est leur fond de commerce, hein)
    Et dans le monde de l’embarqué (quid de l’arch de la Tesla?) mais pour du Arm, les packages Ubuntu sont souvent plus récents et/ou existent tout simplement, exemple bête mais CouchDB ARM pour Debian ? La version Ubuntu existe :wink:
    edit : armv7l :slight_smile:

    Ne vous laisser par “berner” par de la fausse logique de comptoir, la prochaine fois :wink:

    @Dodutils : je ne sais pas si votre message prend en compte le fait que le port Blanc (seul visible) n’est pas le port qui à été utilisé pour accéder au debug de la voiture :wink:

    @symp et les curieux : hacking the gibson et essayer seulement 4 mot de passes (en plus de la référence cinématographique) peut n’être que 4 ‘étapes’, la version du noyau (2.6.36.xx) est fortement troué. Si les 4 ‘étapes’ sont longues, ca reste un indicateur de “fonctionnement” pour le dev que de voir toutes les X minutes “Trying password : xyz”

  11. je ne regarde pas les ports sur la voiture mais le câble bleu montré en photo qui d’un côté est un RJ45 et de l’autre ce qui ressemble à un simple connecteur Barell genre prise 2 conducteurs avec un trou au milieu comme on en trouve sur les transfos par exemple.

  12. symp says:

    Ah, oui… Y’a ces choses sous-lignés qui mènent vers des sources… :smiley:

    Bon ben, j’etais pas dans l’erreur, c’est tout con en fait… Surtout que derrière les failles utilisés, on peut compter le hack de la wii U, 3ds et de la panique des MMS sous android.

    En fait, en lisant l’article, j’ai surtout l’impression que korben à interpréter le tout à sa sauce :stuck_out_tongue: :
    "(attaque par dictionnaire semble-t-il) […] le mot de passe root serait “God” "
    Enfin, ca rassure, il ne l’a pas lu non plus, la source :stuck_out_tongue:

  13. L’auteur du post a laissé un commentaire que je vais résumer en quelques mots:
    La copie d’écran du terminal est un fake, car il ne veut pas qu’on puisse l’identifier.

    1. That wasn’t the real script, I just wrote up something to ssh into my car far after the fact. All the fluff in there was just me being silly. I do have pictures of the actual root when I did it, but it has tons of identifying info in it. For instance, the actual PS1 on the shell shows tesla@cid-$ I can’t really show that if I’m trying to be anonymous…
    2. As of now I do not believe that Tesla knows who I am. I would like to keep it that way for as long as I possibly can. I could just be really naive, though. If they do know, I’m sure I’ll find out soon!

    Peut-être est-il un ingénieur de Tesla qui a réussit son hack parce qu’il a accès aux documents de la société? Ou peut-être est-il tout simplement un fieffé menteur!?

Continuer la discussion sur Korben Communauté

3 commentaires supplémentaires dans les réponses

Participants

Salaire des développeurs : France vs Royaume-Uni : rester ou s’expatrier à l’heure du Brexit ?

Londres reste la première destination en Europe pour les développeurs du monde entier, qui sont désormais près de 360 000 à travailler dans la capitale britannique. Pour autant, les centres technologiques rivaux connaissent une expansion rapide. Maintenant que le Brexit a enfin été annoncé, la France parie qu’elle peut renverser la Grande-Bretagne de son statut de plus grande nation technologique d’Europe. 

Londres est dans une bataille avec d’autres villes européennes pour attirer ces travailleurs hautement qualifiés, et les données suggèrent également que les rivaux européens augmentent leurs effectifs technologiques à un rythme plus rapide, bien qu’à partir d’une base plus faible. Le nombre de développeurs à Paris a augmenté de près de 60% dans le même temps.

Depuis son élection, le Président Macron a séduit les entrepreneurs technologiques avec une série d’initiatives sous la forme d’allégements fiscaux, de subventions et de crédits pour la recherche. En mars 2018, il a promis d’investir 1,5 milliard d’euros dans la recherche en intelligence artificielle jusqu’en 2022. Cela a permis à la France d’ouvrir de nouveaux centres de recherches afin de rester compétitif sur différents sujets. Par exemple, le secteur du jeu vidéo a récemment explosé en France avec la création de nouvelles sociétés (Voodoo et leur 200M$ / 173M€ levés en 2018) et le développement de ses institutions (Ubisoft) qui permettent au pays d’avoir les meilleurs studios de création de jeu au monde. 

Toutefois, les rémunérations françaises proposées aux développeurs sont peu attractives. La société talent.io spécialisée dans le recrutement de profils tech a réalisé une étude en comparant les salaires des développeurs français, allemands et britanniques – selon leurs expériences et le type de poste. Selon les différentes données, la France arrive en bas de chaque classement en étant surpassée à chaque fois par sa rivale britannique. Cependant, talent.io rappelle que le coût de la vie n’est pas compris dans ses données et peut avoir un impact significatif sur le niveau de vie. 

Parier sur la vieille dame ou sur la startup nation? Désormais sortie du Brexit, le Royaume-Uni a quelques cartes à jouer pour rester dans la course de l’innovation et séduire les développeurs.

En recherche de poste ou curieux de découvrir de nouvelles opportunités ? Il est temps de juger par vous-même votre valeur sur le marché. Dans un secteur qui n’a jamais autant évalué, talent.io examine chaque opportunité pour ne vous proposer que le meilleur en France et à l’étranger.

CV, lettre de motivation, candidature ? Rien de tout cela n’est nécessaire, les entreprises postulent directement à vous et l’inscription ne prend que 2 minutes. 

En savoir + sur votre prochain Job 

Créez et éditez vos GIF animés avec la boite à outils complète Ezgif

Ce matin je voulais vous parler du site ezgif.com (easy gif) qui propose toute une série d’outils variés pour jouer avec les GIF animés, ces petites choses magnifiques qui égayent les Internets. Vous pouvez y faire vraiment pas mal de choses comme créer, éditer, redimensionner, recouper, optimiser, ajouter des effets ou dur du texte, etc.

Je vous fais un petit tour du propriétaire :

1. Créer un GIF

On va démarrer avec la base, parce que pour retravailler un GIF avec le reste des outils il faut déjà … avoir un GIF. Cette dernière phrase était sponsorisée par Captain Obvious. Donc ici vous allez créer votre petite animation à partir d’images aux formats GIF, JPG, PNG, BMP, TIFF, APNG ou encore WebP.

Le site ezgif.com permet de creer des gif animes

En termes de limitations on est plutôt sur une barre assez haute puisque votre GIF pourra être composé au maximum de 2000 images pour un poids de 100Mo au total (6Mo max pour une image unique). Le site permet d’ailleurs l’upload d’archives .zip pour plus de facilité (ça évite de passer 3 heures à ajouter ses 2000 fichiers un par un). N’ayez pas peur de mixer différentes extensions d’images, tailles … il va uniformiser le tout pour vous. Le résultat final ne comporte pas de filigrane comme on peut le voir sur d’autres sites.

Une fois vos fichiers ajoutés vous pouvez ajuster leur ordre ainsi que la vitesse de l’animation ou encore ajouter un effet de fondu entre chaque image. L’outil est aussi efficace pour combiner ou raccourcir des GIF déjà existants.

La barre des options sur ezgif.com

Après avoir créé votre fichier vous aurez une nouvelle barre d’options qui vous permettra d’affiner votre résultat : convertir dans un format précis, redimensionner, couper, pivoter, optimiser, modifier la vitesse, ajouter des effets … (voir plus bas pour tous ces détails). À noter que votre création est temporaire, si vous ne la téléchargez pas elle disparaitra au bout d’un certain temps. Pas de hotlinking donc, on vous a vu venir bande de chenapans !

2. Video to GIF

Là encore c’est assez facile à comprendre, c’est l’outil pour vous aider à créer un GIF à partir d’une vidéo. Soit une vidéo perso que vous ajouterez, soit une vidéo déjà en ligne. Attention dans ce dernier cas un lien vers une page web ne suffit pas, il faut un lien direct vers le fichier vidéo lui-même.

Les formats supportés sont nombreux dont les classiques MP4, WebM, AVI, MPEG, FLV, MOV ou 3GP (parmi d’autres) et la taille maximale est de 100Mo. Hormis la fonctionnalité de transformation en GIF vous pouvez simplement utiliser le site pour réaliser quelques opérations directes sur la vidéo elle-même comme la faire pivoter, la redimensionner, la renverser, l’accélérer/ralentir ou encore en extraire une série d’images JPG à la volée.

Créer un gif à partir d'une vidéo

Mais revenons au GIF. Une fois votre vidéo sur le site vous pourrez préciser à quel moment démarrer et stopper votre animation, sa taille, le nombre de FPS, la méthode (FFMPEG …) et diverses autres optimisations. Et une fois votre GIF final créé vous pourrez là encore le peaufiner à base de redimensionnement, découpe, ajout d’écritures & co.

3. Resize

Cette page vous permet de modifier les dimensions de tout ce que vous voulez (ou presque). GIF animé aussi bien qu’image simple vous allez pouvoir tout adapter à vos besoins : agrandir ou réduire la taille, effectuer une rotation, étirer dans un sens ou l’autre, optimiser le fichier, ajouter un filtre … La seule limitation est que le fichier ne doit pas dépasser 35 Mo, pour le reste : have fun !

Ce sera surtout pratique si vous avez des impératifs à respecter comme un poids maximum pour votre animation.

4. Crop

Si votre GIF est composé d’images de dimensions différentes ou que vous voulez focaliser l’action sur une partie précise de l’animation, vous pourriez avoir envie de découper et jeter tout ce qu’il y a autour. C’est ici que cela se passe. Grâce à votre souris, un ratio prédéterminé (16:9, 4:3 …) ou une sélection à main levée … vous allez spécifier la partie du GIF à conserver.

Decouper un gif anime avec ezgif

5. GIF Optimizer

Non seulement vous pouvez y optimiser la taille de votre fichier GIF (en sélectionnant le taux de compression), mais aussi de n’importe quelle image PNG, JPG ou WebP. En plus de convertir différents formats en JPG (BMP, PNG, SVG, GIF). Si vous avez un site et pas d’optimisation automatisée de vos fichiers images cela pourra vous servir.

6. Effects

Déjà présente un peu partout au sein des autres pages du site c’est ici la section dédiée à l’application des différents effets sur votre GIF. J’ai déjà mentionné pas mal des effets possibles (rotation, découpe, vitesse …), mais j’y ajouterai les filtres couleurs et surtout la possibilité de censurer une partie de l’animation. Que ce soit sous forme de pixelisation, de flou ou d’un bloc couleur vous pourrez cacher une partie de l’image. Cela dit ça va alourdir pas mal le fichier final.

7. Split

Bon là ça va être rapide à expliquer puisque cela permet de faire un peu le chemin inverse à la création d’un GIF, à savoir que l’outil permet de découper une animation en une quinzaine d’images aux formats PNG, JPG, WebP ou GIF. Un fichier .zip est créé pour vous permettre ensuite de tout récupérer d’un coup.

Petit bonus vous pouvez créer une feuille de sprites CSS à partir de votre GIF et choisir l’alignement, les bordures entre chaque frame, le format de sortie, découper les sprites …

8. Add text

Pour ajouter du texte : taille, couleur, police d’écriture, alignement ou emplacement, frame de départ et de fin … vous pouvez vous amuser à personnaliser vos créations (ou celles qui existent déjà).

9. WebP / APNG

Les 2 dernières sections sont relatives aux formats animés WebP et APNG (PNG animé). Elles font sensiblement les mêmes options que ce que nous avons vu pour le GIF jusqu’ici : création d’un fichier à partir d’images ou de vidéo, édition, conversion du GIF, fusion de plusieurs animations, etc. La seule petite différence est la taille max d’une image qui ne pourra être que de 5Mo l’unité (contre 6.5Mo).

Gardez juste en tête que pour l’instant ils ne sont peut-être pas aussi universellement supportés que le format GIF. Ce qui les rend peut être un peu moins pratique à utiliser d’ici à ce qu’ils deviennent les nouveaux standards du genre. Voici une petite comparaison entre les 3 formats.


Si vous creuser un peu le site vous trouverez quelques outils supplémentaires comme un générateur de QR Code ou de codes barres (plusieurs dizaines de types sont proposés), des convertisseurs PDF vers GIF ou PNG, des fonctionnalités tests sur les formats MNG et FLIF ou encore un outil pour tenter de réparer des fichiers GIF corrompus. Il y a vraiment pas mal à découvrir et de quoi occuper des heures de votre temps libre.

Bref voilà pour un petit tour du propriétaire de tout ce que permet Ezgif, un site à conserver dans ces utilitaires qui peuvent toujorus dépanner à un moment ou un autre.

J’espère que vous y trouverez votre compte et que vous proposerez bientôt au monde entier tout un tas de GIF fun pour égayer la vie des plus tristes. Parce qu’un GIF qui pop au bon moment est capable de changer totalement la journée d’un être humain, sachez-le !


Comment installer Visual Studio Code sur Chromebook et Raspberry Pi ?

Si vous avez un vieux Chromebook qui traine, ou une petite machine qui tourne sous Linux comme un Raspberry Pi, sachez que la formidable communauté autour de Visual Studio Code a mis en ligne des builds conçues pour s’installer sur ce type de machines.

Si vous avez la possibilité d’installer des applications Linux nativement sur votre ChromeOS, rendez-vous sur la page des dernières builds de Visual Studio Code.

Autrement, mettez votre Chromebook en mode développeur, installer l’extension Crouton depuis le Chrome Web Store.

Appuyez ensuite sur Ctrl+Alt+T pour lancer un Shell. Faites une fois « Entrée » pour accéder au Shell développeur puis entrez la ligne de commande suivante :

. <( wget -O - https://code.headmelted.com/installers/chromebook.sh )

Et pour le Raspberry, c’est via APT que ça se passe (pour les distrib Debian, Raspbian, Ubuntu ou encore Mint)

. <( wget -O - https://code.headmelted.com/installers/apt.sh )

Le projet est sympa et cela vous permettra de recycler des machines pour en faire des petites machines à coder bien pratiques à utiliser.

Vous trouverez plus d’infos ici.

Un détecteur de Web Shell de hackers pour votre serveur

Je ne sais pas si tout le monde ici sait exactement ce que sont les web shells comme C99 ou R57, mais je vais tenter de vous expliquer rapidement… Les web shell sont des scripts le plus souvent développé en PHP, ASP, ou CGI (mais y’en a dans tous les langages) qui permettent d’interagir via HTTP avec le système (c’est à dire le serveur).

Les pirates s’en servent pour, à partir d’une faille d’injection simple de fichier, avoir la main sur le serveur et à distance pouvoir gérer les fichiers, lancer des commandes, gérer le MySQL…etc. C’est comme s’ils avaient un SSH sous les yeux si vous préférez.

Peut être, avez vous, sans le savoir un de ces scripts de web shells qui tournent en ce moment même sur votre serveur ? Mais comment le savoir ?

Et bien pour cela, il existe un autre script (en PHP cette fois) qui s’appelle PHP Shell Detector et dont la fonction principale est de scanner votre serveur à la recherche justement de ces web shells dangereux. Pour cela, il se base sur un certain nombre de critères afin de déterminer une signature pour chaque shell.

Ensuite, à vous de voir pour faire le ménage !

Source et photo