E-paper : afficheur de prix

Les commerçants sont tenus d'afficher les prix des objets qu'ils vendent. Et l'acheteur paye le prix affiché.

Un petit commerçant peut se permettre d'utiliser du papier, n'ayant à manipuler que relativement peu d'objets, mais cela peut vite devenir une sinécure, voyez un magasin de vêtements qui veut simplement appliquer une réduction sur l'ensemble de ses articles...

Alors manipuler les prix de milliers d'articles, voire de dizaines de milliers comme dans les hypermarchés, réclame un système de gestion global de l'affichage pour limiter les problèmes et le temps passé, c'est un investissement certainement rentable même si une seule étiquette peut coûter quelques euros, vu que le temps d'un humain est ce qu'il y a de plus cher dans les pays développés.

Dans le passé, on voyait plutôt des étiquettes utilisant un écran à cristaux liquides (LCD).

À présent, c'est le papier électronique, nettement plus lisible et offrant une flexibilité d'affichage bien supérieure, et des couleurs contrastées :

Nous reparlerons plus tard de cette histoire de communication pas si évidente. Mais continuons notre survol.

On va donc trouver dans une architecture système typique divers appareils :

• L'étiquette elle-même, bien sûr
• Une base de données sur des ordinateurs contenant la liste des articles à étiqueter. Cela peut devenir une partie conséquente si jamais plusieurs magasins sont à gérer, et pas forcément tous avec la même politique de prix et de marges. Et éventuellement des offres spéciales proposées uniquement dans un magasin particulier.
• Puis il faut envoyer les données à l'étiquette, et cela peut se faire de diverses façons :
  • Un contrôleur est installé dans le magasin, et est capable d'envoyer les données à chacune des étiquettes, c'est l'"access point". On peut prévoir un retour par l'étiquette (pour savoir si elle est vivante), mais cela va consommer de l'énergie.
  • Un accès classique par WiFi (par exemple) à d'autres appareils, en particulier un appareil portable capable de communiquer "en direct, à vue" avec l'étiquette, à commencer par la lecture de son code-barre pour l'identifier (si plus rien ne marche). Ce sont les PAD, PDA et autres « remote control », des appareils spécifiques vendus par le fournisseur, ou alors une application sur smartphone, si tant est que le smartphone soit capable de communiquer avec l'étiquette.

Les étiquettes étant essentiellement des esclaves (si en plus elles pouvaient voir si le rayon est approvisionné, ce serait royal et carrément magique), la communication est à réaliser que dans un seul sens.

Aussi les premiers systèmes utilisèrent le rayonnement infrarouge, simple à mettre en œuvre car il suffit d'installer des LEDs infrarouges en quantité suffisante pour couvrir la zone où se situent les étiquettes, c'est du même tonneau que votre télécommande de TV.

Un avantage intéressant est qu'un capteur infrarouge ne consomme pratiquement pas d'énergie en attente, et pourra réveiller son hôte avec une simple interruption. Ceci permet d'assurer une durée de vie plutôt longue.

Cependant, on n'est pas vraiment à l'abri de zones d'ombre. Et côté sécurité, ça n'ira pas loin.

Il est plus simple d'installer une seule antenne pour arroser le local complètement, et il suffit d'augmenter la puissance pour être sûr que toutes les étiquettes reçoivent le signal.

On a utilisé les ondes basse fréquence, mais de nos jours c'est la bande des 2.4 GHz qui est en vogue, libre d'utilisation et occupée par le WiFi, le Bluetooth et consort.

Le principal défaut est qu'un récepteur radiofréquence consomme de l'énergie, et il faut alors ruser pour essayer de diminuer la consommation. Par exemple, si on pouvait décider d'écouter uniquement à certaines heures, alors on pourrait couper la réception. Mais cela suppose d'avoir une horloge locale suffisamment précise, horloge qui consommera aussi un peu d'énergie. L'optimisation du système n'est donc pas très évidente.

Il est également possible de communiquer en RFID, de la même manière qu'avec une carte sans contact NFC, qui ne possède pas de pile. C'est l'émetteur qui enverra de l'énergie avec les données à transmettre, ce qui est très avantageux pour la consommation électrique, mais qui présente le défaut de ne fonctionner qu'à quelques centimètres au mieux.

C'est très commode lorsque l'on peut utiliser un appareil portable, voire un smartphone équipé NFC.

Je vais prendre un cas particulier pour illustrer un peu tout ça, et ça vous donnera une idée des sources d'information potentielles.

La FCC est une bonne source d'information car dès qu'un appareil communique par ondes électromagnétiques, il faut obtenir l'autorisation américaine de mise sur le marché, et ils publient les documents, photos à l'appui. Mais les schémas ne sont pas publiés (quand même).

• FCC tests sur le NOWA-213 de Hanshow
• NOWA-213 : user manual

Le manuel utilisateur est certainement le document le plus intéressant pour comprendre comment ça marche, car le fournisseur est tenu d'expliquer le fonctionnement pour que les inspecteurs puissent exécuter leur travail.

Grâce au manuel, on peut connaitre pas mal de choses :

• Il s'agit d'un écran 2.13 pouces, 250x122 pixels @ 131 dpi (points par pouce) [mais non garanti !].
• L'écran présente des pigments rouges (en plus du noir et blanc).
• Équipé en NFC (la zone de réception est indiquée dans le manuel).
• Équipé d'une LED (le point noir à côté de l'écran).
• La durée annoncée est de 5 ans avec 2 mises à jour par jour, utilisant 2 batteries de 550mAh remplaçables.
• Que la communication se fait principalement dans la bande des 2.4 GHz, avec un débit moyen de 10 000 étiquettes par heure, (maximum 18 000 par heure).

Voilà qui permet de savoir de quoi il retourne. Le circuit imprimé présente les éléments suivants (et le marquage n'a pas été effacé, ça aide) :

• Circuit imprimé : HS_EL5102_IM_67_03
• Écran : HINK-E0213A57-A0
• Puce A : FM11NC 081
• Puce B : TLSR8359
• Le reste sont des passifs.

On remarquera que le circuit imprimé indique des points de tests qui sont manifestement utiles à la programmation, ainsi qu'au contrôle des signaux en direction de l'écran (fort pratiques pour s'en resservir, d'autant plus que ce sont les noms de broches significatifs).

Le nom du composant, avec son "0213", indique clairement qu'il s'agit d'un écran 2.13 pouces.

Une recherche sur Internet montre que nous avons affaire à écran de JIANGXI XI ou encore Jiangxi Xingtai Technology Inc. / SeekInk, et la résolution fait également penser à l'écran 2.13inch proposé par Waveshare.

Je n'ai pas retrouvé la datasheet de cet écran, mais le HINK-E0213A198 parait vraiment très proche.

Les noms inscrits sur les points de tests correspondent aux I/Os de l'écran :

• CS chip select
• CK horloge
• SDA données
• DC data/command
• RST reset
• il ne manque que BUSY (qui est directement connecté à une entrée du microcontrôleur, après recherche).

On doit pouvoir prendre possession de l'écran directement, en dessoudant les deux puces pour être tranquille.

Il s'agit d'une puce d'interface NFC de Shanghai Fudan Microelectronics. Elle ne présente rien de spécial, il s'agit d'une interface classique, et ici c'est la version I2C.

Vous trouverez la datasheet sur Internet en cherchant avec son identificateur.

TLSR8359 F512 est le microcontrôleur principal équipé d'une radio 2.4 GHz, d'une SRAM de 64kbytes et de 512kbytes de flash.

La puce embarque aussi de quoi chiffrer en AES et AES-CCM (ce qui est rassurant quelque part concernant la sécurité, encore faudrait-il s'en être servi).
Elle possède un numéro d'identification unique, ce qui peut être très commode.

Cette puce est visiblement déjà connue, et il existe même de quoi reflasher pour communiquer en Bluetooth :

• Custom BLE firmware for Hanshow E-Paper Shelf Labels / Price Tags using the TLSR8359 ARM SOC
• TLSR8359 USB-COM Flash Writer v0.2 (TX-SWS only!)

Avec ça, inutile de s'enquiquiner à faire du reverse engineering sur le code embarqué si l'objectif est de communiquer avec l'écran.

Une référence proche montre une version MSP430 et CC2640 (d'autres puces pour communiquer en 2.4 GHz), et l'écran serait piloté par la puce SSD1675B, c'est ce que l'on voit sur la liste Hanshow sur github mais la résolution ne correspond pas, ni le modèle Hanshow.

Je n'ai pas trouvé mieux comme info.

Provenant du domaine de la sécurité, je me suis demandé pourquoi ces étiquettes n'étaient pas vraiment attaquées, alors que la surface d'attaque est énorme, et que les nuisances causées sont potentiellement énormes.

Comme toujours en sécurité, il faut d'abord considérer les menaces.

L'attaquant brouille les communications avec l'étiquette (en saturant le 2.4 GHz), ce qui empêche une mise à jour des prix, et il pourrait alors profiter d'un prix plus bas alors qu'une augmentation est attendue.

Alternativement, l'attaquant s'arrange pour provoquer des dizaines de mises à jour (par exemple la nuit), vidant les batteries.

D'une manière plus pénible, l'attaquant enlève la batterie de l'étiquette (ça se démonte souvent très facilement sans matériel complexe), et la rend inopérante. Mais elle affiche toujours le même prix, c'est le propre du papier électronique.
Pénible car il faut ouvrir toutes les étiquettes cibles, ce qui n'est pas discret en magasin. Mais bon, cela coûtera de l'argent à l'exploitant du magasin, qui devra remplacer les étiquettes fautives.

L'attaquant efface, voire remplace les images affichées par des images anodines (ou pire) (ou un prix moins cher chez un concurrent). Le magasin n'est plus opérationnel, il doit afficher les prix sinon il n'est pas conforme à la loi. Le hacker peut réclamer une rançon en échange des pertes d'exploitation.

Cela suppose d'identifier toutes les étiquettes cibles, ce qui peut être fait en écoutant les signaux de mise à jour (le chiffrement parait alors indispensable, reste à vérifier qu'il est efficace).

L'attaquant modifie le prix affiché. En caisse, c'est le prix qu'il doit payer, d'après la loi.

L'attaquant pourrait directement modifier une étiquette particulière, cible, en utilisant le canal primaire, direct.

Voire, plus simplement, remplacer la vraie étiquette par une fausse qu'il aurait reprogrammée, et qui pourrait même répondre comme la vraie en l'imitant, mais sans mettre à jour l'écran.

Il peut également prendre possession du contrôleur central WiFi (ou l'imiter), et modifier le flux de données.

Alternativement, l'attaquant pourrait hacker le système informatique, mais là il ne s'agit plus d'attaques concernant l'étiquette elle-même, c'est plus conventionnel.

Si l'attaquant a en plus accès au matériel du magasin, en particulier le matériel portatif connecté au système central, il pourrait escalader les privilèges et modifier directement le prix dans la base de données, ce qui invite à gérer au plus près tous les droits d'accès.

Des attaques plus sournoises pourraient faire modifier le prix indirectement en déclarant un stock inexistant, trop important, entrainant des promotions non voulues.

Lors du paiement —au prix affiché—, le magasin pourra se targuer d'une erreur informatique "regrettable", ce qui limitera ce genre d'attaque.

Je n'ai que superficiellement regardé ce problème. Mais suffisamment pour faire peur à un commerçant.

Oui, je sais, je suis retors. Mais c'est ça être paranoïaque quand on fait de la sécurité.

En cherchant un peu sur le web, vous trouverez des tentatives de hack de ces étiquettes.