Article actualisé le 30 mars 2023 : On en sait maintenant un peu plus sur la manière dont les hackers français ont réussi à pénétrer au sein de la Tesla Model 3 grâce à Autonews. Les chercheurs en sécurité ont réussi deux hacks différents. Le premier a eu lieu en Bluetooth (sans fil), ce qui leur a permis de prendre la main sur le système d’infodivertissement de la voiture, qui gère, notamment, le GPS, la musique et les vidéos.
Mais pour aller plus loin et prendre le contrôle total de la voiture électrique, les hackers n’ont pas dû se contenter du Bluetooth. Une connexion Ethernet a été nécessaire, ce qui leur a permis d’avoir le contrôle total sur la voiture. Mais pour avoir accès au connecteur de diagnostic de la voiture, il faut réussir à entrer à l’intérieur de celle-ci. On ne sait pas encore si le premier hack (en Bluetooth) leur permettait d’ouvrir les portes. Car ces deux hacks ont eu lieu sur la carte mère démontée de la voiture, pour éviter tout risque d’accident.
On devrait en savoir un peu plus dans les semaines à venir, lorsque Tesla aura comblé ces deux failles de sécurité et que les chercheurs pourront rendre public leur méthode.
Article original du 25 mars 2023 : La cybersécurité est un vaste domaine, de plus en plus sous le feu des projecteurs comme le prouve régulièrement le média Cyberguerre. Les voitures n’échappent pas à la règle, puisqu’elles sont de plus en plus connectées, que ce soit en local, avec le Bluetooh et le Wi-Fi, ou à distance, en 4G et désormais 5G.
Un concours de hacking à Vancouver
Chaque année, un concours de sécurité informatique est organisé à Vancouver. Baptisé Pwn2Own, celui-ci a lieu durant la conférence CanSecWest, dédiée à la cybersécurité. Des entreprises en profitent pour tester leurs systèmes de sécurité, en permettant aux hackers de chercher des failles. Cette année, Tesla était de la partie, avec sa célèbre Model 3. L’objectif était de réussir à entrer dans le système d’exploitation en tant qu’administrateur, et récupérer tous les droits.
Et un hacker a justement réussi l’exploit, lui permettant de prendre le contrôle de toute la voiture. Ce qui pourrait signifier la possibilité de démarrer et de voler le véhicule même si cela n’a pas été explicitement annoncé. Pour ce faire, la porte d’entrée utilisée était la connexion Bluetooth au système d’infodivertissement, permettant notamment de diffuser de la musique dans l’habitacle. Une fois le système d’infodivertissement hacké, ils ont réussi à continuer, pour récupérer les droits d’administration.
Mais attention, tous les détails n’ont pas encore été rendus public, malgré la vidéo ci-dessous permettant de voir le résultat des différents exploits des deux hackers. Il faudra donc attendre un peu plus d’informations pour savoir s’ils ont pu prendre possession de la voiture électrique uniquement via le Bluetooh, ou également avec un accès physique à l’ordinateur de bord.
Il serait également intéressant de savoir si leur technique fonctionne lorsque la voiture est à l’arrêt et éteinte. Dans ce cas, le Bluetooh est toujours activé, pour permettre l’ouverture de la voiture via l’application ou la clef physique optionnelle.
Cette expérience permet toutefois aux deux hackers de repartir avec deux chèques : un premier de 100 000 dollars et un second de 250 000 dollars, mais aussi avec une Tesla. L’organisateur annonce que les hackers ont remporté une Tesla Model 3… mais montre une Tesla Model S dans son tweet.
Le rôle des hackers white hats
Quoi qu’il en soit, ce n’est pas la première fois que des hackers white hats (hackers éthiques) pénètrent dans une Tesla Model 3 lors du concours Pwn2Own. La première fois était en 2019, lorsque des chercheurs en sécurité informatique avaient réussi à prendre le contrôle de la voiture grâce au navigateur web.
Est-ce que cela signifie que les voitures électriques de Tesla ne sont pas sûres ? Pas vraiment, puisqu’il est virtuellement possible de hacker n’importe quel système. Il faut juste du temps et des ressources, pour trouver une éventuelle faille. On l’a encore vu récemment avec des hackers qui ont réussi à ouvrir des dizaines de voitures (Hyundai, Nissan, Honda, Infiniti et Acura) grâce au numéro d’identification unique (VIN) de celles-ci.
Le plus important, ce sont les mesures mises en place par le constructeur qui permettent d’éviter la présence de ces failles et de diminuer l’impact de leur exploitation. Dans le cas présent, on peut donc se demander si les hackers auraient pu démarrer la voiture et partir avec. Si ce n’est pas le cas, on imagine alors qu’ils auraient simplement pu déverrouiller les portières… ou seulement lancer de la musique. On le voit : entre ces trois cas, la dangerosité de la faille n’est absolument pas similaire.
Bien entendu, ce genre de conférence est extrêmement utile pour les constructeurs de système informatique, pour leur permettre de combler les failles. On devrait en savoir plus sur la faille Tesla dans les semaines à venir, une fois que l’entreprise aura corrigé celle-ci et que les hackers présenteront leur mode opératoire.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix