Tech

Des failles tierces ont permis à un pirate informatique adolescent de suivre l’emplacement des voitures Tesla

Le chercheur en sécurité a fait une révélation surprenante qu’il pouvait accéder à plus de 25 véhicules Tesla dans environ 13 pays en exploitant la faille.

Un adolescent basé en Allemagne a proclamé dans un tweet qu’il avait identifié des failles de sécurité dans les logiciels tiers utilisés dans les voitures Tesla qui lui permettent de prendre le contrôle des fonctions clés de la voiture, telles que le déverrouillage des fenêtres/portes, le démarrage de la voiture et la désactivation leur système de sécurité.

Détails de la faille

Selon David Colombo (19 ans), qui prétend être un spécialiste de la sécurité informatique, il a identifié des failles dans des logiciels tiers, qu’un petit nombre de propriétaires de voitures Tesla utilisent. Les failles permettent aux pirates de prendre le contrôle à distance de certaines fonctions de la voiture.

En plus de contrôler le système de sécurité de la voiture, les fenêtres/portes, Colombo a déclaré dans son tweet publié mardi qu’il peut identifier s’il y a quelqu’un présent sur le siège du conducteur, faire clignoter les phares de la voiture, désactiver le mode Sentry et allumer le système stéréo.

Colombo a noté qu’il est “assez dangereux” si un pirate à distance peut monter et baisser le volume ou ouvrir la porte ou les fenêtres lorsque la voiture roule sur l’autoroute.

« Je pourrais également interroger l’emplacement exact, voir si un pilote est présent, etc. La liste est assez longue. Et oui, je pourrais aussi rickroller à distance les propriétaires concernés en jouant à Rick Astley sur Youtube dans leur Teslas… »

“Même le fait de faire clignoter les feux sans arrêt peut potentiellement avoir un impact (dangereux) sur les autres conducteurs “,  lit -on dans le tweet de Colombo  .

25 Teslas dans 13 pays étaient accessibles

Colombo a fait une révélation surprenante selon laquelle il pouvait accéder à plus de 25 véhicules Tesla dans environ 13 pays en exploitant la faille.

Un jeune de 19 ans a piraté des voitures Tesla via une faille logicielle tierce
Tweets du pirate informatique

« Néanmoins, je peux désormais exécuter des commandes à distance sur plus de 25 Teslas dans 13 pays à l’insu des propriétaires. En ce qui concerne ce que je suis capable de faire avec ces Teslas maintenant. Cela inclut la désactivation du mode Sentry, l’ouverture des portes/fenêtres et même le démarrage de la conduite sans clé… » , a révélé le tweet de Colombo.

Cependant, il a noté qu’il avait décidé de publier sur le problème sur Twitter seulement après qu’il n’ait pas pu contacter directement la plupart des propriétaires de voitures. Il a partagé des captures d’écran et d’autres preuves de ses recherches et a informé le constructeur automobile du nom du fournisseur du logiciel ainsi que des détails des vulnérabilités. 

Selon le tweet de suivi de Colombo, l’équipe de sécurité de Tesla est informée du problème et s’efforce de le résoudre. Néanmoins, Colombo a confirmé qu’il ne pouvait pas interagir avec la direction, les freins ou l’accélérateur. Il a également précisé que la vulnérabilité n’était pas dans l’infrastructure de Tesla mais était la faute des propriétaires.

Lors d’une conversation avec Hackread, com, Lotem Finkelsteen, responsable du renseignement et de la recherche sur les menaces pour Check Point Software Technologies, a déclaré que,

« Les rapports selon lesquels un jeune pirate informatique allemand, David Colombo, a pu pirater un certain nombre de voitures Tesla envoient des ondes de choc dans l’industrie automobile et exploitent nos pires craintes, comme si notre véhicule était pris en charge par un étranger alors que nous roulions à 70 mph ! L’examen est un peu plus détaillé, ce n’est pas tout à fait à ce niveau de menace mais mérite néanmoins notre attention. »

« Colombo n’a pu prendre le contrôle d’aucun véhicule dans ce sens, mais a affirmé qu’il était capable de contrôler certains périphériques sur 25 Teslas mal entretenues, comme le volume du système audio, les fenêtres et les lumières et, surtout, il n’était pas en mesure d’exécuter du code sur aucune des voitures compromises et n’a certainement pas pu entrer dans le système de commande de conduite. Il a signalé le piratage à Tesla et ils enquêtent. Colombo dit que ce n’est pas une vulnérabilité inhérente à Tesla et que les propriétaires de voitures devraient pouvoir bloquer son accès intrusif », a souligné Lotem.

« Je contesterais cette conclusion. Peut-on vraiment s’attendre à ce que les utilisateurs soient familiarisés avec la configuration logicielle d’un produit complexe et très avancé techniquement comme une automobile moderne ? Certes, les voitures doivent être sécurisées “hors de la boîte” et sécurisées selon les normes les plus élevées. Il ne devrait pas être possible pour le conducteur d’autoriser l’accès à distance à son véhicule, que ce soit par une action donnée ou même par l’inaction », a ajouté Lotem .

« Cela dit, je peux prévoir un avenir où les utilisateurs devront assumer une certaine responsabilité pour la cybersécurité de leurs véhicules. Si, à Dieu ne plaise, un pirate prenait le contrôle de votre voiture et que vous aviez un accident, peu importe à qui la faute était si la voiture n’était pas sécurisée, vous voudriez faire tout ce qui est en votre pouvoir pour l’empêcher », a averti Lotem.

« Bien sûr, nous attendons des fabricants qu’ils fournissent un véhicule entièrement sécurisé, mais notre expérience en matière de cybersécurité nous dit que ce n’est pas quelque chose qui peut être garanti à 100 % pour toujours. De la même manière que nous nous attendons à être proactifs dans la protection de nos ordinateurs portables et de nos téléphones, je pense que nous devrons adopter une approche plus pratique pour garantir que nos voitures sont protégées contre les cyberattaques. En effet, lorsque notre vie et celle de nos familles sont en danger, les utilisateurs commenceront à exiger un niveau de contrôle personnel sur de tels risques. Lotem conclut.

Leave your vote

Afficher plus

Articles similaires

Bouton retour en haut de la page

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.