Tesla Model S : Prise de contrôle à distance possible

0
122

Des chercheurs en sécurité informatique chinois ont découvert une faille de sécurité touchant les Tesla Model S, permettant la prise de contrôle à distance des véhicules. Proof of Concept édifiant.

L’exploit a été revendiqué par des chercheurs en sécurité de l’entreprise chinoise Keen Security Lab. Tout part d’une vulnérabilité ciblant le système Wi-Fi et le navigateur Web intégré au système embarqué de la voiture. Une fois la faille exploitée à distance, la prise de contrôle de la Tesla Model S s’effectue sans accès direct au véhicule, me^me lorsque ces derniers sont en mouvement. D’après les chercheurs, d’autres modèles de la marque seraient eux aussi vulnérables à ce jour…

Les experts en sécurité n’ont pas hésiter à publier une vidéo de leur exploit, qui a par ailleurs rencontré un franc succès sur Youtube !

Le but de ce type de piratage étant d’accéder au bus de données CAN (Controller Area Network) du véhicule, offrant alors le contrôle des systèmes embarqués. Les hackers ont ainsi pu réaliser différentes opérations sur des Tesla Model S P85 et Tesla Model SP75, comme déverrouiller les portières, ajuster la place du fauteuil, plier les rétroviseurs, activer les essuies-glace, rendre inutilisable les écrans à bord, ou encore ouvrir le toit ouvrant. Les opérations les plus dangereuses de leur démonstration consistent à ouvrir le coffre pendant que le véhicule roule ou à freiner brutalement, ce qui pourrait alors causer des accidents importants.

Le constructeur Tesla a confirmé la véracité de la démonstration et a annoncé dans la foulée avoir corrigé la faille de sécurité via une mise à jour du firmware des véhicules incriminés :

« Dans les 10 jours qui ont suivi le rapport, Tesla a déjà déployé une mise à jour over-the-air (v7.1, 2.36.31) qui a adressé les problèmes de sécurité potentiels », assure le constructeur à The Register. « Le problème démontré est seulement déclenché quand le navigateur web est utilisé, et demande aussi à être physiquement proche d’un hotspot Wi-Fi malveillant et d’y être connecté. Notre estimation réaliste est que le risque pour nos clients est très faible, mais ceci ne nous a pas empêché de répondre rapidement ».

« Nous nous sommes rapprochés de la communauté des chercheurs en sécurité pour tester la sécurité de nos produits afin que nous puissions réparer les éventuelles vulnérabilités avant qu’elles ne causent des problèmes à nos clients. Nous félicitons l’équipe de recherche qui est derrière la démonstration du jour, et nous prévoyons de les récompenser à travers notre programme de bug bounty, qui a été créé pour encourager ce type de recherches », note Tesla.

Le constructeur a effectivement lancé son programme de récompenses pour les hackers qui lui signalent les failles découvertes, mais avec seulement un maximum de 10 000 dollars à la clé, somme qui reste très moindre par rapport aux autres programmes de type Bug Bounty mis en place par les géants du Web (Apple, Facebook, Google, etc).

 

Source : Numérama