Tesla est-il fautif ? C’est la question que l’on peut se poser en découvrant les allégations de David Colombo, un hacker de 19 ans qui affirme sur Twitter avoir pris le contrôle à distance de plus de 25 voitures électriques de Tesla dans 13 pays différents. C’est surtout l’occasion de rappeler de bonnes pratiques en matière de sécurité et l’importance de la double authentification.
Pour bien comprendre le sujet, il faut savoir que David Colombo explique être en mesure d’activer le mode Sentinelle des véhicules (le système de surveillance des activités de la voiture) ainsi que l’option de conduite sans clé, d’ouvrir les portes et les fenêtres ou encore de connaître la position géographique exacte de chaque Tesla.
Le hacker avance avoir exploité une faille logicielle, mais précise cependant que « ce n’est pas une vulnérabilité de l’infrastructure de Tesla. C’est de la faute des propriétaires [de voiture]. C’est pourquoi je dois le signaler aux propriétaires […] ».
Découvrez enfin une carte bancaire de prestige : la World Elite Mastercard de Fortuneo est conçue pour vous offrir des services adaptés à votre style de vie et toutes vos envies
Précisons que le hacker n’a pas le contrôle sur le volant ou les freins des Tesla à distance. Cependant, même si la voiture est en train de rouler, il peut changer le volume de la radio ou activer les feux.
La faille ne vient pas de Tesla
L’histoire reste donc assez floue, mais on peut supposer que la faille de sécurité vient d’une application tierce permettant à l’utilisateur de prendre le contrôle d’une voiture. On pense notamment à celles et ceux qui passent par le logiciel domotique Jeedom, mais il en existe d’autres.
David Colombo préfère sans doute préserver le secret pour ne pas montrer un chemin tout tracé vers la faille à des pirates mal intentionnés tant que la brèche n’aura pas été colmatée. Il tente cependant de rassurer un peu son monde en soulignant que seul un faible nombre de personnes sont concernées à travers le monde. En outre, les équipes de Tesla sont en contact avec le hacker pour lancer une investigation et tenter de corriger le souci.
Activez la double authentification sur Tesla
Quoi qu’il en soit, ce genre d’incidents rappellent l’importance de l’authentification à deux facteurs (2FA) sur l’ensemble de nos appareils connectés. Or, si Tesla n’est pas à l’origine de la faille évoquée ici, le constructeur devrait appliquer une politique plus stricte pour la sécurité de ses utilisateurs.
En effet, la double authentification existe sur Tesla, mais elle n’est pas obligatoire. Or, cette méthode permettrait de facilement se protéger contre une grande majorité des failles de sécurité. Au lieu de laisser un hacker se connecter à leur véhicule à leur insu, les propriétaires de Tesla concernés auraient alors reçu un message (SMS, email…) demandant de confirmer la connexion. Cela les aurait incités à changer de mot de passe et à faire quelques vérifications. Sans être la panacée, la 2FA a de quoi rassurer.
Prenons l’exemple de Google qui force déjà la double authentification pour améliorer la sécurité de ses utilisateurs. D’autres entreprises en font de même à l’instar d’Amazon sur ses caméras Ring après avoir notamment subi un piratage.
Pour aller plus loin
Tesla dévoile une Model S 2022 avec quelques changements mineurs
Pour ne rater aucun bon plan, rejoignez notre nouveau channel WhatsApp Frandroid Bons Plans, garanti sans spam !
Citer Jeedom est sans objet. On connait bien le logiciel concerné (Teslamate et son installation par défaut), utilisé par des gens qui l'ont ouvert sur internet sans rien verrouiller. En cherchant 10 minutes avec la bonne requête google (inurl), je suis tombé sur plus de 15 instances en accès libre ...
Si c'est des vols de token, le 2fa n y peut rien contre.. et avec les token, les actions sont limités. Pour ma part je déconseille le 2fa pour sa tesla car le jour où on perd/ casse son smartphone, on est bien comptant de pouvoir installer et s'identifier sur un autre smartphone... Si on se fait hacké, c'est pas la fin du monde non plus.
C'est voulu, c'est le revers de toutes les voitures connectées en 4G/5G... Sur les Zoé, quand mon entreprise a oublié de payer le loyer de la location des batteries, Renault a bloqué les voitures à distance et sans prévenir...
Apparemment Grafana est la source d'une faille dans Teslamate... car les gens ont laissé le mot de passe par défaut admin/admin ce qui permet à des personnes mal intentionnées de récupérer vos API Key Tesla et de prendre le contrôle de certaines fonctions de la voiture. Tesla a reset les clé pour protéger les gens en attendant pourquoi cibler Jeedom? (source?)
Je n'aime pas du tout la double authentification à cause du SMS envoyé... j'ai pas d'abonnement roaming et dans un pays étranger, je n'ai pas accès au SMS... par email, on arrive parfois a avoir un wifi gratuit... c'est ça que je préfère si la double authentification est obligatoire.
C'est le début de la fin pour Tesla.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix