Alors que l’ère du « joyriding numérique » en piratant à distance l’entrée de direction d’une voiture n’est pas encore arrivée, un grand pas a été franchi dans cette direction (si l’on en croit un pirate adolescent). Un « spécialiste de la sécurité » de 19 ans a déclaré avoir trouvé une vulnérabilité dans un logiciel tiers utilisé par certains véhicules Tesla, qui permet de contrôler à distance certaines fonctions comme le moteur et le système de sécurité.

La menace de la télécommande représente un grave danger pour les propriétaires de Tesla

La menace de la télécommande représente un grave danger pour les propriétaires de Tesla
© yumpu.com

David Colombo, un hacker « chapeau blanc » vivant en Allemagne, affirme que la vulnérabilité donne accès à une variété de systèmes pour lesquels un propriétaire légitime pourrait utiliser ses télécommandes. Lire aussi : De la NASA à SpaceX, ce sont les meilleurs lancements en Floride à attendre en 2022.

Colombo a décrit la vulnérabilité dans une série de tweets, fournissant des captures d’écran et des vidéos comme preuve de sa réclamation. Il dit que la faille permet à un pirate informatique distant de démarrer le moteur, de déverrouiller les portes et les fenêtres et de désactiver les systèmes de sécurité. Il peut également accéder aux caméras et capteurs internes de la voiture pour voir si un conducteur est présent, activer les phares et allumer le système audio (y compris le contrôle du volume).

Comme l’a souligné Colombo, jouer soudainement de la musique à plein volume ou allumer et éteindre les phares et le klaxon pourrait présenter un risque sérieux pour le conducteur et les autres sur la route. Sans parler des possibilités d’espionnage et de vol qu’une telle vulnérabilité ouvre. L’un des tweets de Colombo suggérait qu’il était possible qu’il puisse conduire un véhicule après l’avoir démarré à distance de cette manière, mais qu’il ne serait pas en mesure d’intervenir et d’interférer avec la direction d’un véhicule déjà en marche. Il a en outre précisé que la vulnérabilité n’a pas créé une opportunité de contrôler l’accélération ou le freinage.

Le problème provient d’un logiciel tiers que Tesla n’utilise que dans certains modèles de voitures. Colombo a pu localiser 25 véhicules individuels dans 13 pays auxquels il pouvait accéder ; a également contacté directement la plupart de ces propriétaires de véhicules pour les informer du défaut. L’une de ses démonstrations vidéo sur Twitter a impliqué l’un de ces propriétaires, qui a filmé le pirate klaxonnant à distance avec son véhicule.

La vulnérabilité de contrôle à distance semble impliquer des clés API pour ce logiciel tiers, qui n’a pas été nommé pour des raisons de sécurité (apparemment, le développeur du logiciel n’a pas encore résolu le problème). De même, la liste complète des modèles concernés est gardée secrète, mais le fil Twitter initial de Colombo a révélé qu’un modèle Y à Los Angeles et un modèle 3 quelque part figuraient parmi les véhicules auxquels il avait accès.

Une autre possibilité est que Colombo ne fait pas référence à un logiciel tiers intégré dans le véhicule lui-même, mais à un type d’application de rechange en option (comme TeslaFi) que certains propriétaires choisissent d’utiliser pour diverses fonctionnalités supplémentaires. Cependant, le problème ne semblait pas être lié aux mots de passe ou à l’absence d’authentification à deux facteurs, comme l’a mentionné Colombo dans l’une de ses réponses au tweet.

Le logiciel tiers en question pourrait être TeslaMate, un enregistreur de données auto-hébergé, car Tesla a soudainement déprécié des milliers de jetons d’authentification le lendemain du jour où Colombo a publié son fil Twitter et les a notifiés. Certains autres utilisateurs de Twitter ont soutenu cette idée, notant que la configuration par défaut de l’application laissait ouverte la possibilité à quiconque d’accéder à distance au véhicule. Cela fait également suite au tweet initial de Colombo qui affirmait que la vulnérabilité était « la faute des propriétaires, pas de Tesla ».

L’équipe de sécurité de Tesla a annoncé qu’elle enquêtait sur le problème de la télécommande. Colombo a également notifié l’organisation à but non lucratif de surveillance des vulnérabilités MITRE et prépare un compte rendu écrit détaillé de la faille logicielle tierce.

A lire sur le même sujet

Les vulnérabilités des logiciels tiers font le saut vers les véhicules

Les vulnérabilités des logiciels tiers font le saut vers les véhicules
© rgstatic.net

Lotem Finkelstein, responsable Threat Intelligence and Research pour Check Point, y voit une évolution troublante qui devrait inciter les constructeurs automobiles à s’assurer que les applications avec accès à distance à leurs véhicules disposent d’une sécurité par défaut solide qui ne repose pas sur les configurations des utilisateurs. : « Pouvons-nous s’attendent-ils vraiment à ce que les utilisateurs connaissent la configuration logicielle d’un produit complexe et techniquement avancé, comme une voiture moderne ? Il est certain que les voitures, entre toutes choses, doivent être sûres « prêtes à l’emploi » et garanties selon les normes les plus élevées. Cela ne devrait pas être possible pour le conducteur d’autoriser l’accès à distance à son véhicule via une certaine action ou même une inaction. A voir aussi : Une décennie de préparation : comment les dossiers Samsung définissent l’avenir de l’innovation des smartphones. Cela dit, je peux prévoir un avenir où les utilisateurs devront assumer une certaine responsabilité quant à la cybersécurité de leurs véhicules… façon dont nous nous attendons à être proactifs dans protéger nos ordinateurs portables et téléphones oni, je soupçonne que nous devrons prendre une décision plus pratique pour nous assurer que nos voitures sont protégées contre les cyberattaques. En effet, lorsque nos vies et celles de nos familles seront en danger, les utilisateurs commenceront à exiger un niveau de contrôle personnel sur ces risques. »

Colombo a également suggéré un accès utilisateur final plus granulaire intégré à l’API, avec des jetons d’authentification séparés pour différentes fonctions contrôlées à distance. Les éléments « critiques » tels que les serrures de porte et le moteur auraient une plage de jetons différente de celle des accessoires moins potentiellement dangereux (tels que les radiateurs internes).

En attendant, on ne sait pas exactement quelle sera la résolution du problème de télécommande. Le problème peut ne pas être répertorié comme une vulnérabilité s’il s’agit techniquement d’une erreur de l’opérateur lors de la définition des options de configuration (ou de l’échec de la mise à jour des options par défaut). Bien que les éléments intéressés de la communauté de la sécurité semblent généralement d’accord sur le fait que TeslaMate est le mystérieux logiciel tiers qui a été compromis, il n’est pas clair si le développeur aurait une obligation légale de publier un correctif. Changer ses paramètres par défaut ou envoyer une alerte importante aux utilisateurs peut suffire, mais on ne sait pas si cela se produira. En fin de compte, les propriétaires de Tesla devront peut-être simplement utiliser cet incident comme un rappel pour vérifier très soigneusement tout logiciel tiers qu’ils décident d’utiliser avec leur voiture.