Les voitures Tesla sont de plus en plus populaires, et comme tous les systèmes très populaires, elles attirent les convoitises des hackers.
Deux chercheurs en sécurité, Talal Haj Bakry et Tommy Mysk, viennent de démontrer qu’une simple attaque de phishing pouvait conduire à voler des comptes Tesla, à déverrouiller et à démarrer les voitures. D’ailleurs, cette attaque fonctionne avec la dernière version de l’application Tesla et du logiciel Tesla.
Comment ça marche ? C’est bête et méchant
L’attaque est simple. Les chercheurs utilisent un appareil appelé Flipper Zero pour configurer un faux point d’accès Wi-Fi dans un Supercharger, par exemple. Mais qu’est-ce qu’un Flipper Zero ? Il s’agit d’un appareil portable conçu pour les hackers et les amateurs de sécurité informatique. Il permet de réaliser diverses tâches, telles que l’analyse de signaux radio, la programmation de cartes à puce, ou encore la création de points d’accès Wi-Fi.
Pour aller plus loin
Le Flipper Zero, l’appareil interdit sur Amazon et prisé sur TikTok
Il suffit alors de créer un point d’accès près d’un Supercharger, par exemple. En se connectant à ce point d’accès, en pensant profiter d’une connexion Wi-Fi, les utilisateurs Tesla se font voler leurs informations d’identification. Cela peut être fait à travers une fausse page de connexion, par exemple.
Une fois ces informations en main, il suffit d’être à proximité du véhicule pour accéder au véhicule, le déverrouiller et le démarrer. Et ce n’est pas tout : cette astuce fonctionne aussi avec un Raspberry Pi.
Dans une vidéo explicative, Talal Haj Bakry et Tommy Mysk montrent à quel point il est facile d’obtenir les informations de connexion pour un compte Tesla. Ils soulignent également que l’authentification multifacteur, bien qu’activée en option pour les comptes Tesla, peut facilement être contournée.
Précisons également que le hacker doit se trouver à proximité immédiate de la voiture pour que l’attaque fonctionne.
Pour Tesla, cette vulnérabilité n’est pas considérée comme une faille de sécurité. L’entreprise estime que les attaques de phishing et d’ingénierie sociale ne sont pas du hacking. Cependant, cela représente un réel problème de sécurité pour les utilisateurs Tesla, en particulier ceux qui sont un peu étourdis ou qui ne sont pas conscients des risques liés au phishing.
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix