Tesla Model 3 hackée : ils repartent avec la voiture et 350 000 dollars

 
Une Tesla Model 3 s’est faite hackée… pour la bonne cause, dans le cadre d’un concours de sécurité informatique. Les hackers ont toutefois eu droit de repartir avec la voiture électrique ainsi qu’un beau chèque de 350 000 dollars. On vous explique comment ils ont fait.

Article actualisé le 30 mars 2023 : On en sait maintenant un peu plus sur la manière dont les hackers français ont réussi à pénétrer au sein de la Tesla Model 3 grâce à Autonews. Les chercheurs en sécurité ont réussi deux hacks différents. Le premier a eu lieu en Bluetooth (sans fil), ce qui leur a permis de prendre la main sur le système d’infodivertissement de la voiture, qui gère, notamment, le GPS, la musique et les vidéos.

Mais pour aller plus loin et prendre le contrôle total de la voiture électrique, les hackers n’ont pas dû se contenter du Bluetooth. Une connexion Ethernet a été nécessaire, ce qui leur a permis d’avoir le contrôle total sur la voiture. Mais pour avoir accès au connecteur de diagnostic de la voiture, il faut réussir à entrer à l’intérieur de celle-ci. On ne sait pas encore si le premier hack (en Bluetooth) leur permettait d’ouvrir les portes. Car ces deux hacks ont eu lieu sur la carte mère démontée de la voiture, pour éviter tout risque d’accident.

On devrait en savoir un peu plus dans les semaines à venir, lorsque Tesla aura comblé ces deux failles de sécurité et que les chercheurs pourront rendre public leur méthode.


Article original du 25 mars 2023 : La cybersécurité est un vaste domaine, de plus en plus sous le feu des projecteurs comme le prouve régulièrement le média Cyberguerre. Les voitures n’échappent pas à la règle, puisqu’elles sont de plus en plus connectées, que ce soit en local, avec le Bluetooh et le Wi-Fi, ou à distance, en 4G et désormais 5G.

Un concours de hacking à Vancouver

Chaque année, un concours de sécurité informatique est organisé à Vancouver. Baptisé Pwn2Own, celui-ci a lieu durant la conférence CanSecWest, dédiée à la cybersécurité. Des entreprises en profitent pour tester leurs systèmes de sécurité, en permettant aux hackers de chercher des failles. Cette année, Tesla était de la partie, avec sa célèbre Model 3. L’objectif était de réussir à entrer dans le système d’exploitation en tant qu’administrateur, et récupérer tous les droits.

Et un hacker a justement réussi l’exploit, lui permettant de prendre le contrôle de toute la voiture. Ce qui pourrait signifier la possibilité de démarrer et de voler le véhicule même si cela n’a pas été explicitement annoncé. Pour ce faire, la porte d’entrée utilisée était la connexion Bluetooth au système d’infodivertissement, permettant notamment de diffuser de la musique dans l’habitacle. Une fois le système d’infodivertissement hacké, ils ont réussi à continuer, pour récupérer les droits d’administration.

Mais attention, tous les détails n’ont pas encore été rendus public, malgré la vidéo ci-dessous permettant de voir le résultat des différents exploits des deux hackers. Il faudra donc attendre un peu plus d’informations pour savoir s’ils ont pu prendre possession de la voiture électrique uniquement via le Bluetooh, ou également avec un accès physique à l’ordinateur de bord.

Il serait également intéressant de savoir si leur technique fonctionne lorsque la voiture est à l’arrêt et éteinte. Dans ce cas, le Bluetooh est toujours activé, pour permettre l’ouverture de la voiture via l’application ou la clef physique optionnelle.

Cette expérience permet toutefois aux deux hackers de repartir avec deux chèques : un premier de 100 000 dollars et un second de 250 000 dollars, mais aussi avec une Tesla. L’organisateur annonce que les hackers ont remporté une Tesla Model 3… mais montre une Tesla Model S dans son tweet.

Le rôle des hackers white hats

Quoi qu’il en soit, ce n’est pas la première fois que des hackers white hats (hackers éthiques) pénètrent dans une Tesla Model 3 lors du concours Pwn2Own. La première fois était en 2019, lorsque des chercheurs en sécurité informatique avaient réussi à prendre le contrôle de la voiture grâce au navigateur web.

Est-ce que cela signifie que les voitures électriques de Tesla ne sont pas sûres ? Pas vraiment, puisqu’il est virtuellement possible de hacker n’importe quel système. Il faut juste du temps et des ressources, pour trouver une éventuelle faille. On l’a encore vu récemment avec des hackers qui ont réussi à ouvrir des dizaines de voitures (Hyundai, Nissan, Honda, Infiniti et Acura) grâce au numéro d’identification unique (VIN) de celles-ci.

Le plus important, ce sont les mesures mises en place par le constructeur qui permettent d’éviter la présence de ces failles et de diminuer l’impact de leur exploitation. Dans le cas présent, on peut donc se demander si les hackers auraient pu démarrer la voiture et partir avec. Si ce n’est pas le cas, on imagine alors qu’ils auraient simplement pu déverrouiller les portières… ou seulement lancer de la musique. On le voit : entre ces trois cas, la dangerosité de la faille n’est absolument pas similaire.

Bien entendu, ce genre de conférence est extrêmement utile pour les constructeurs de système informatique, pour leur permettre de combler les failles. On devrait en savoir plus sur la faille Tesla dans les semaines à venir, une fois que l’entreprise aura corrigé celle-ci et que les hackers présenteront leur mode opératoire.

 


Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Les derniers articles