Hacking de Tesla - Démonstration d'une prise de contrôle à distance de la Model S

par Korben -

Vous le savez, c’est important de faire les mises à jour de votre matos. Y compris sur votre voiture

La preuve avec ces chercheurs en sécurité Chinois de chez Keenlab qui ont travaillé pendant des mois sur la Tesla Model S et qui grâce à leur talent, ont découvert plusieurs vulnérabilités leur permettant d’en prendre le contrôle à distance, qu’elle soit garée (mode Parking) ou en mouvement (mode Drive).

Pas besoin de se connecter physiquement à la voiture, et ça fonctionne sur le dernier firmware sans aucune modification.

C’est assez impressionnant, car une fois dans le système, ils peuvent déclencher les clignotants, faire bouger le siège, stopper la voiture, ouvrir le toit ouvrant, rabattre les rétroviseurs, ouvrir le coffre, lancer les essuie-glaces…etc.

Je suppose que pour ne pas nuire à la comm de Tesla et ne pas faire flipper les propriétaires de voiture, ils n’ont pas tout montré, mais qu’ils pourraient s’ils le voulaient, tourner le volant (gloups) ou faire accélérer la voiture. Après tout ce sont des choses qui sont déjà gérées par le pilotage automatique.

Ce genre de “problème” est quelque chose d’assez nouveau comme on l’a vu dernièrement avec Jeep, car toute la voiture est contrôlée de manière logicielle et capable de communiquer avec l’extérieur, mais là où avant on restait bloqué avec un bug pendant des années sur son GPS ou que sais-je, maintenant les mises à jour sont diffusées directement par le constructeur Over The Air. Mais bon, c’est sûr qu’une faille dans une voiture, ça peut faire physiquement plus de dégâts sur votre corps qu’une faille dans un Wordpress ou Twitter ;-).

Tesla a été prévenu de ces failles et travaille avec Keenlab pour un correctif qui est déjà disponible dans la dernière sera poussé dans les prochaines mise à jour des voitures.

Bref, si vous êtes l’heureux propriétaire d’une Tesla, pensez à faire les prochaines mises à jour régulièrement.

Edit : J’ai été contacté par Tesla qui m’a communiqué les informations suivantes

Seulement 10 jours après avoir reçu ces informations, Tesla a déjà déployé une mise à jour à distance (v7.1, 2.36.31) adressant cette vulnérabilité. Les différentes opérations ne sont réalisables que lorsque le navigateur web est utilisé et nécessitent que le véhicule soit à proximité et connecté à un réseau wifi malveillant. Même si le risque encouru par nos clients était extrêmement faible selon nos estimations, nous avons réagi rapidement.

Nous sommes en contacts réguliers avec la communauté des chercheurs en sécurité afin de tester la sécurité de nos produits et nous permettre de résoudre d’éventuelles vulnérabilités avant qu’elles ne représentent un risque de sécurité. Nous reconnaissons le travail effectué par l’équipe ayant démontré ces vulnérabilités et prévoyons de la récompenser conformément à ce que prévoit notre programme de chasseurs de bug favorisant ce type d’initiative.

Que faire après le bac quand on est passionné de cybersécurité ?
Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus