Récemment, plusieurs médias ont rapporté de nombreux vols de carburant commis via des attaques particulièrement simples, reposant sur l’usage de télécommandes de service universelles, parfois surnommées « télécommandes magiques » ou encore « télécommandes pompiste » visant à débloquer les pompes. Ces différentes télécommandes de service/maintenance permettent d’envoyer des commandes infrarouges aux pompes à essence afin d’accéder, en mode maintenance aux différents menus de paramétrage. Un sujet sensible qui a attisé ma curiosité, en sachant que ce type d’attaque ne date pas d’hier puisque en 2014, certains médias relataient déjà les faits.
- Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Découverte des différents modes opératoire
- Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Étude du protocole infrarouge NEC
- Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Replay Attack en environnement infrarouge ?
- Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Conclusion finale
Note
Petit disclaimer : la possession de ce genre de télécommande universelle n’est pas interdite, mais son utilisation, elle, est bien sûr réservée aux professionnels du secteur. Aucun lien ne sera indiqué sur cet article. Ce qui nous intéresse, c’est bien sûr de comprendre comment ce type d’attaque peut avoir lieu, et surtout pourquoi, en 2025, cette technologie est encore parfois présente.
Sans surprise, soulignons le problème venant de la simplicité, pour ne pas dire la vétusté de la technologie utilisée (infrarouge), combinée à des codes de maintenance laissés par défaut (0000, 1111…) pouvant être retrouvés sur les différentes notices techniques au format PDF. Toutefois, les informations sont assez compliquées à avoir et même ChatGPT se montre peu bavard là-dessus… Soulignons qu’aujourd’hui, la majorité des stations-service modernes s’appuient sur un système superviseur TCP/IP qui centralise toutes les transactions (POS — Point Of Sale, autrement dit « point de vente »), mais aussi la maintenance, le changement de tarifs, la programmation, les plafonds, la gestion des différents modes (illimité, tarif, sécurité), et bien plus encore. Cependant, il reste encore de petites stations « old school », principalement dans les villages, dont la vulnérabilité liée à l’infrarouge reste bien réelle et tangible…
Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Découverte des différents modes opératoire
Avant de commencer cet article, soulignons que le secteur de la distribution de carburant tend désormais à simplifier et uniformiser ses protocoles grâce à des passerelles TCP/IP capables de gérer des protocoles propriétaires devenues obsolètes avec le temps. Par exemple, le contrôleur de station-service DOMS PSS 5000, que j’ai étudié, englobe près d’une centaine de protocoles émanant de différentes stations. Ce type de solution permet de moderniser et d’ajouter une couche de sécurité dans la gestion des pompes, tout en conservant des équipements anciens initialement peu sécurisés. Toutefois, de nombreuses pompes subsistent encore, calquées sur des méthodologies de fonctionnement obsolètes pour les tâches de maintenance, permettant, depuis une télécommande propriétaire ou universelle, la modification individuelle du paramétrage de chaque pompe : modes de fonctionnement, plafond de retrait (2800 L de gazole avaient été volés via ce paramètre il y a quelques années…), tarification ajusté à chaque pompe, et de nombreux autres paramètres que nous retrouvons sur les captures…
Notons que l’utilisation d’une télécommande universelle dédiée aux pompes à essence ne fonctionne qu’en mode autonome, c’est-à-dire dans une station-service plus ancienne, basée sur des pompes dites « manuelles » gérées sans contrôleur distant. Ainsi, un contrôleur TCP/IP englobant l’ensemble des pompes rend possible une attaque indépendante sur chaque pompe, mais limite drastiquement le choix des paramètres disponibles, puisque la gestion se fait alors de manière centralisée en interne. À noter que ces différentes télécommandes de service universelles pour pompes à carburant (les fameuses télécommandes « magiques » ou « miracles » selon certains médias !) offrent strictement les mêmes fonctionnalités que les télécommandes OEM de maintenance des fabricants Tokheim, Wayne Dresser, Adast, Tatsuno ou encore Satam puisque calquer à 100% sur leurs fonctionnalités infrarouges comme nous allons le voir. Dans les différents cas que j’ai étudiés, seul un code à 4 chiffres dit « Manager » apporte la sécurité escomptée pour l’accès à ces paramètres… Code laissé par défaut la plupart du temps ! Un simple changement de ce code réduirait pourtant quasiment à néant tout risque d’attaque.
Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Étude du protocole infrarouge NEC
Ce type de télécommande universelle pour station de carburant s’appuie sur l’antédiluvienne technologie infrarouge, identique à celle de nos chères télécommandes TV, offrant une portée de travail allant de 1 à 4 m. Le côté « universel » de ce type de télécommande est calqué sur le même principe qu’une télécommande TV, s’appuyant sur une bibliothèque préprogrammée de codes/séquences propres aux différentes marques afin d’apporter une large compatibilité. Des codes/séquences permettent d’entrer en mode maintenance, sans aucune restriction, hormis celle de connaître le code à 4 chiffres, bien souvent laissé par défaut.
On retrouve également un système de Dips Switch réglable selon une abaque, permettant de changer en temps réel la compatibilité avec différentes marques de pompes à carburant. Dans notre cas, ce sont les fabricants Tokheim, Wayne Dresser, Adast, Tatsuno Benc ou encore Satam qui sont intégrés dans ce type de télécommandes universelles dans des modèles plus anciens… L’envoi de signaux infrarouges vers le récepteur de la pompe à essence respecte une séquence propre à chaque fabricant, permettant de s’identifier et de pouvoir en prendre l’entier contrôle. Ces signaux infrarouges transmis sont des impulsions lumineuses codées (souvent modulées à 38 kHz pour éviter l’éblouissement) représentant des bits 0 et 1, regroupés dans une trame.
Étudions en détail le protocole infrarouge « NEC » étant l’un des plus populaires dans le domaine des télévisions asiatiques.
Chaque fabricant utilisant la technologie infrarouge possède son propre protocole avec un format très précis (timings, nombre et ordre des bits, inversion, répétition), permettant de les différencier.
Cela rend très simple la conception d’un produit capable d’embarquer de nombreux protocoles différents pour chaque marque (nb. les télécommandes de carburants), puisqu’il n’existe ici ni cryptage, ni saut de fréquence, ou tout autre protection évoluée. Pour fiabiliser la transmission, l’adresse et la commande (après le « Header ») sont envoyées deux fois : une fois de manière conventionnelle et l’autre fois inversée, afin de détecter toutes erreurs. Le protocole NEC, très répandu (notamment dans les télécommandes TV asiatiques), est documenté et facile à comprendre. Il fonctionne avec une modulation à environ 38 kHz et utilise une codification par pulse-distance modulation (codage par distance entre impulsions).
1. Code de début (header) – Permet au récepteur de savoir que la transmission commence.
2. Données – adresse, commande, authentification, etc.
3. Bit de contrôle / checksum – vérifie l’intégrité des données.
Voici la trame au complet, sans aucune simplification. Nous observons la séquence de 9 ms et 4,5 ms constituant le Header permettant de commencer la transmission (temps propres à chaque fabricant permettant de les différencier) à chaque trame transmise, ainsi que l’envoi d’une adresse (équipement TV, pompe à essence, télécommande tierce…), accompagné de l’envoi d’une même trame inversée une deuxième fois pour détecter les erreurs via un contrôle de parité. La partie commande suit le même schéma, puis la trame stop vient finaliser la transmission. Autant dire que nous sommes dans des schémas restant assez sommaires, intrinsèquement liés à cette technologie.
Résumé version texte
[Header synchro] → [Adresse] → [Adresse inverse] → [Commande] → [Commande inverse] → [Stop]
Résumé avec les durées
|<---- 9 ms ---->|<-- 4,5 ms -->|0|1|1|0|0|1|...
“0” = 560 µs ON + 560 µs OFF
Résumé visuel simplifié
Explication : (blocs noirs = signal ON, blancs = OFF)
“1” = 560 µs ON + 1680 µs OFF
Durées en µs (microsecondes)
█████████░░░░░░
█░█░█░█░██░█░█...Trame infrarouge des télécommandes infrarouge NEC complète et sans filtre. Notons que celle-ci se montre assez sommaire et facilement compréhensible
HEADER :
9.0 ms ON
4.5 ms OFF
ADRESSE (NEC) 0x20 -> binaire MSB-first 0010 0000
LSB-first (bits 0→7) : [0, 0, 0, 0, 0, 1, 0, 0]
bit 0 : 560 µs ON, 560 µs OFF → 0
bit 1 : 560 µs ON, 560 µs OFF → 0
bit 2 : 560 µs ON, 560 µs OFF → 0
bit 3 : 560 µs ON, 560 µs OFF → 0
bit 4 : 560 µs ON, 560 µs OFF → 0
bit 5 : 560 µs ON, 1680 µs OFF → 1
bit 6 : 560 µs ON, 560 µs OFF → 0
bit 7 : 560 µs ON, 560 µs OFF → 0
ADRESSE INVERSE 0xDF -> complément à 1 de 0x20
LSB-first : [1, 1, 1, 1, 1, 0, 1, 1]
bit 0 : 560 µs ON, 1680 µs OFF → 1
bit 1 : 560 µs ON, 1680 µs OFF → 1
bit 2 : 560 µs ON, 1680 µs OFF → 1
bit 3 : 560 µs ON, 1680 µs OFF → 1
bit 4 : 560 µs ON, 1680 µs OFF → 1
bit 5 : 560 µs ON, 560 µs OFF → 0
bit 6 : 560 µs ON, 1680 µs OFF → 1
bit 7 : 560 µs ON, 1680 µs OFF → 1
COMMANDE 0x15 -> binaire MSB-first 0001 0101
LSB-first : [1, 0, 1, 0, 1, 0, 0, 0]
bit 0 : 560 µs ON, 1680 µs OFF → 1
bit 1 : 560 µs ON, 560 µs OFF → 0
bit 2 : 560 µs ON, 1680 µs OFF → 1
bit 3 : 560 µs ON, 560 µs OFF → 0
bit 4 : 560 µs ON, 1680 µs OFF → 1
bit 5 : 560 µs ON, 560 µs OFF → 0
bit 6 : 560 µs ON, 560 µs OFF → 0
bit 7 : 560 µs ON, 560 µs OFF → 0
COMMANDE INVERSE 0xEA -> complément à 1 de 0x15
LSB-first : [0, 1, 0, 1, 0, 1, 1, 1]
bit 0 : 560 µs ON, 560 µs OFF → 0
bit 1 : 560 µs ON, 1680 µs OFF → 1
bit 2 : 560 µs ON, 560 µs OFF → 0
bit 3 : 560 µs ON, 1680 µs OFF → 1
bit 4 : 560 µs ON, 560 µs OFF → 0
bit 5 : 560 µs ON, 1680 µs OFF → 1
bit 6 : 560 µs ON, 1680 µs OFF → 1
bit 7 : 560 µs ON, 1680 µs OFF → 1
STOP :
560 µs ON ./Impulsion finale courte
Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Replay Attack en environnement infrarouge ?
Malgré les enjeux, l’absence de sécurité intrinsèquement liée à la conception de certaines pompes permet aisément de dupliquer les signaux infrarouges dès lors qu’on a pu avoir la télécommande physiquement une première fois à proximité. La technologie infrarouge est vieillissante et, hormis dans le domaine militaire, elle ne se sécurise pas vraiment… L’interception et le replay des trames infrarouges peuvent se faire aisément puisque l’absence de Rolling Code permet de rejouer à l’infini les trames capturées. Nous pouvons intercepter facilement n’importe quelle trame infrarouge avec un récepteur TSOP38238 et renvoyer ses différents signaux à l’aide d’un microcontrôleur type Arduino ou une carte basée sur un ESP32, par exemple. Une librairie Arduino comme « IRremote » de Ken Shirriff facilite drastiquement la lecture et l’envoi des trames. Notons que cette librairie sert à recevoir et envoyer des signaux infrarouges en décodant la plupart des protocoles courants (NEC, Sony, RC5, RC6, Panasonic, JVC, etc.).
Nous pouvons donc reproduire une séquence infrarouge, y compris les combinaisons de touches envoyées.
Factuellement, il sera alors possible de se connecter (logger) et de prendre le contrôle d’une pompe en copiant la séquence envoyée. Par exemple, la combinaison : « <M><1><1><1><1> et <ENT> », tapée sur la télécommande principale, pourra être interceptée puis rejouée ultérieurement par un contrôleur tiers afin de s’authentifier automatiquement sur cette pompe. Cela reste possible uniquement si nous avons physiquement accès à la télécommande d’origine afin de dupliquer les trames envoyées initialement.
À noter qu’à la différence des trames radio en 868 MHz basées sur un code tournant, ici les trames sont fixes et le resteront… pour l’éternité rendant caduque toute notion de sécurité.
Dossier : Vol de carburant avec une télécommande universelle Infrarouge | Conclusion finale
La rédaction de cet article a permis de comprendre rapidement qu’il n’existe aucun code tournant ni contre mesure de sécurité dans l’ensemble des protocoles infrarouges utilisés par les pompes à essence.
En restant sur une technologie infrarouge vieillissante, les fabricants choisissent une approche certes peu sécurisée, mais ô combien pratique pour la gestion de petites pompes à essence. De nombreuses attaques reposant sur l’usage de télécommandes de maintenance compatibles ont été médiatisées. Notons toutefois que ces attaques réussissaient principalement car les codes par défaut tels que 1111 ou 0000, étaient laissés inchangés. Une simple hygiène à ce sujet aurait, à coup sûr, empêché ce type d’attaque malgré les vulnérabilités intrinsèques liées à la technologie infrarouge.
Selon moi, l’utilisation de ce type de technologie rend certes l’interception plus difficile, puisqu’il faut être physiquement très proche de la télécommande, mais introduit un risque réel : la duplication des trames en interne suivie d’un rejeu ultérieur. Le risque reste faible, mais bien présent. Si certains fabricants souhaitent apporter leur point de vue, je publierai volontiers leur réponse ici afin d’offrir une approche peux-être différente. En 2025, continuer d’utiliser un système de gestion obsolète alors que le secteur de la distribution d’énergie est largement rentable me semble totalement déraisonnable. Heureusement, l’usage d’un contrôleur centralisant la gestion des pompes ajoute la couche de sécurité nécessaire, et demeure particulièrement fréquent dans les environnements de stations-service.
