Près de 2300 litres de carburant (600 galons) auraient été siphonnés d’une station-service située dans la banlieue de Detroit (Michigan) grâce à l’usage d’un « équipement miracle » capable de bloquer ou d’interférer avec le système de contrôle à distance du pompiste de service. L’employé, interrogé par la chaine Fox2, a déclaré avoir été impuissant, le temps qu’une dizaine d’automobilistes ait eu le temps de faire le plein. Un « kit d’urgence » lui aurait ensuite permis de stopper cette hémorragie d’hydrocarbure. Mais les rares témoignages sont relativement douteux. 600 galons et 10 automobiles, cela fait 60 galons par véhicule, soit près de 230 litres. Même au pays du gigantisme mécanique, ce genre de réservoir doit être relativement rare. Mystère également sur les moyens techniques utilisés par les pirates.
Déjà, par le passé, des « proof of concept » avaient montré à quel point certains équipements de stations-services étaient vulnérables à toutes sortes d’attaques. Les premiers à en avoir fait les frais, par le plus grand des hasards à la veille de la DefCon 2017, étaient les tunnels de lavage automatique. Et il n’y a aucune raison pour que les systèmes de contrôle des pompes à carburant soient mieux sécurisés que les aires de lavage ou même que les distributeurs de billets (activité affublée d’un nom plutôt évocateur, le Jackpotting ).
Aux USA, certaines pompes sont activées et contrôlées par une liaison sans fil. D’autres utilisent de très classiques liaisons Ethernet locales, mais pour des impératifs de simplicité du système de facturation, l’ordinateur chargé de l’automatisation est également relié au réseau de payement via Internet. La découverte de failles exploitables à distance ne serait donc pas franchement surprenante.