Faille de sécurité chez Tesla : un simple jouet permet un vol facile en quelques secondes

ParPhilippe Moureau 12 mars 2024 à 17h49

Dans un monde où les véhicules connectés gagnent en popularité pour leur commodité, une équipe de chercheurs en sécurité de chez Mysk a mis en lumière une vulnérabilité alarmante qui cible Tesla. Cette vulnérabilité expose les propriétaires de Tesla à une nouvelle forme d’attaque par ingénierie sociale, exploitant la fonctionnalité de connexion wifi gratuite offerte par les stations de Supercharge Tesla.

L’attaque expliquée

L’exploit commence avec un dispositif peu coûteux nommé Flipper Zero, un outil de test de pénétration qui ressemble à un jouet Tamagotchi. Ce dispositif, disponible pour moins de 200 dollars, est capable grâce à un petit programme de diffuser un réseau wifi nommé “Tesla Guest”, simulant ainsi le réseau officiel offert par les stations de Supercharge Tesla. Lorsqu’un propriétaire de Tesla tente de se connecter à ce réseau factice, il est accueilli par un portail captif imitant celui de Tesla, où les identifiants du compte Tesla sont demandés.

À l’instant où les identifiants sont entrés, ils sont transmis au Flipper Zero de l’attaquant. Si l’authentification à deux facteurs est activée, l’attaquant induit la demande d’un code de vérification, que le propriétaire saisit, permettant ainsi à l’attaquant de se connecter à l’application Tesla sur son téléphone. Cette étape ne nécessite pas l’autorisation physique d’une carte-clé, donnant à l’attaquant un accès complet au véhicule, y compris la possibilité de contourner le code PIN de conduite.

Bien que l’utilisation du Flipper Zero soit ici indiquée, cette attaque est possible avec n’importe quel dispositif capable de simuler un réseau wifi.

Les implications pour la sécurité

Les chercheurs de Mysk ont signalé cette vulnérabilité à l’équipe produit de Tesla, qui a répondu que le comportement observé correspondait à celui attendu, mentionnant qu’aucune carte-clé n’était nécessaire pour ajouter une nouvelle clé via téléphone. Tesla ne compte donc pas proposer de solution pour contrer ce type d’attaque. Cela soulève des inquiétudes significatives quant à la sécurité des propriétaires de Tesla, les exposant au risque de voir leur voiture volée par des individus exploitant cette faille.

Mysk recommande pourtant à Tesla de revoir cette vulnérabilité de sécurité, suggérant que l’authentification par carte-clé devienne obligatoire pour l’ajout d’une nouvelle clé téléphone et que les propriétaires soient notifiés lors de l’ajout d’une nouvelle clé. Il est crucial pour les propriétaires de Tesla d’être conscients de cette attaque et des précautions nécessaires pour sécuriser leurs véhicules électriques.

Conseils de sécurité pour les propriétaires de Tesla

  • Soyez prudent lors de la connexion à des réseaux wifi publics, en particulier ceux proposés par les stations de Supercharge Tesla.
  • Activez l’authentification à deux facteurs sur votre compte Tesla pour ajouter une couche supplémentaire de sécurité.
  • Surveillez les notifications de l’application Tesla, en particulier celles concernant l’ajout de nouvelles clés.
  • Envisagez de limiter l’utilisation des réseaux wifi gratuits dans les zones publiques, surtout si vous n’avez pas accès à un réseau de données mobile fiable.

Cette attaque met en lumière les défis de sécurité auxquels sont confrontés les propriétaires de voitures électriques et la nécessité pour les fabricants comme Tesla de renforcer les mesures de sécurité pour protéger leurs clients contre de telles vulnérabilités. Les propriétaires de Tesla, en prenant conscience de ces risques et en adoptant des pratiques de sécurité prudentes, peuvent contribuer à sécuriser leurs précieux véhicules contre les menaces potentielles.

Par Philippe Moureau

Quadragénaire passionné de voitures électriques. Je m'intéresse à la transition énergétique et à la lutte contre les émissions de gaz à effet de serre. Je suis un véritable passionné de voitures électriques et un défenseur de l'environnement.

🙋‍♂️ Réagissez à l'article 💬
S’abonner
Notification pour
guest

4 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
Suivez-nous sur Facebook

Continuez de suivre nos dernières actualités en nous ajoutant sur Google News !

Inscrivez-vous à notre newsletter