Le piratage d’une Tesla avec un Flipper Zero est une réalité – et c’est effrayant

 
Deux chercheurs en sécurité ont récemment découvert une vulnérabilité dans l’application Tesla qui permet aux pirates d’accéder aux comptes Tesla à l’aide d’une simple attaque de phishing.
Tesla Model Y // Source : Tesla

Les voitures Tesla sont de plus en plus populaires, et comme tous les systèmes très populaires, elles attirent les convoitises des hackers.

Deux chercheurs en sécurité, Talal Haj Bakry et Tommy Mysk, viennent de démontrer qu’une simple attaque de phishing pouvait conduire à voler des comptes Tesla, à déverrouiller et à démarrer les voitures. D’ailleurs, cette attaque fonctionne avec la dernière version de l’application Tesla et du logiciel Tesla.

Comment ça marche ? C’est bête et méchant

L’attaque est simple. Les chercheurs utilisent un appareil appelé Flipper Zero pour configurer un faux point d’accès Wi-Fi dans un Supercharger, par exemple. Mais qu’est-ce qu’un Flipper Zero ? Il s’agit d’un appareil portable conçu pour les hackers et les amateurs de sécurité informatique. Il permet de réaliser diverses tâches, telles que l’analyse de signaux radio, la programmation de cartes à puce, ou encore la création de points d’accès Wi-Fi.

Pour aller plus loin
Le Flipper Zero, l’appareil interdit sur Amazon et prisé sur TikTok

Il suffit alors de créer un point d’accès près d’un Supercharger, par exemple. En se connectant à ce point d’accès, en pensant profiter d’une connexion Wi-Fi, les utilisateurs Tesla se font voler leurs informations d’identification. Cela peut être fait à travers une fausse page de connexion, par exemple.

Une fois ces informations en main, il suffit d’être à proximité du véhicule pour accéder au véhicule, le déverrouiller et le démarrer. Et ce n’est pas tout : cette astuce fonctionne aussi avec un Raspberry Pi.

Dans une vidéo explicative, Talal Haj Bakry et Tommy Mysk montrent à quel point il est facile d’obtenir les informations de connexion pour un compte Tesla. Ils soulignent également que l’authentification multifacteur, bien qu’activée en option pour les comptes Tesla, peut facilement être contournée.

Précisons également que le hacker doit se trouver à proximité immédiate de la voiture pour que l’attaque fonctionne.

Pour Tesla, cette vulnérabilité n’est pas considérée comme une faille de sécurité. L’entreprise estime que les attaques de phishing et d’ingénierie sociale ne sont pas du hacking. Cependant, cela représente un réel problème de sécurité pour les utilisateurs Tesla, en particulier ceux qui sont un peu étourdis ou qui ne sont pas conscients des risques liés au phishing.


Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Les derniers articles