Des chercheurs chinois en sécurité informatique, réunis au sein du Keen Security Lab, ont démontré lundi qu’ils avaient réussi à prendre le contrôle de voitures Tesla à distance, et même pendant qu’elles roulaient. Les hackers ont ainsi pu réaliser différentes opérations sur des Tesla Model S P85 et Tesla Model SP75, comme déverrouiller les portières, ajuster la place du fauteuil, plier les rétroviseurs, activer les essuies-glace, rendre inutilisable les écrans à bord, ou encore ouvrir le toit ouvrant.
Les opérations les plus dangereuses de leur démonstration consistent à ouvrir le coffre pendant que le véhicule roule ou à freiner brutalement, ce qui pourrait alors causer des accidents importants.
L’équipe de recherche, qui ne semble dépendre d’aucune université, n’explique pas comment elle a pu ainsi réaliser ce genre de piratages, que l’on avait déjà vu à plus grande échelle contre des voitures Chrysler et plus généralement contre des véhicules équipés de certains boîtiers OBD2, également commercialisés en France. Elle assure toutefois qu’elle a prévenu Tesla de ses découvertes et attendu que les correctifs soient appliqués avant de dévoiler ses trouvailles.
Une mise à jour déjà déployée par Tesla
Tesla lui-même confirme le succès des chercheurs chinois, et donne des indices sur la méthode employée, qui semble limitée à des cas très spécifiques (on est loin des 1,4 million de Chrysler qui avaient dû être rappelées).
« Dans les 10 jours qui ont suivi le rapport, Tesla a déjà déployé une mise à jour over-the-air (v7.1, 2.36.31) qui a adressé les problèmes de sécurité potentiels », assure le constructeur à The Register. « Le problème démontré est seulement déclenché quand le navigateur web est utilisé, et demande aussi à être physiquement proche d’un hotspot Wi-Fi malveillant et d’y être connecté. Notre estimation réaliste est que le risque pour nos clients est très faible, mais ceci ne nous a pas empêché de répondre rapidement ».
Ces explications éclairent pourquoi les chercheurs parlent d’une prise de contrôle possible jusqu’à 20 km de distance. Ils pensent certainement à des hotspots Wi-Fi amplifiés avec une antenne directionnelle, ce qui est rarissime. Contrairement à la faille qui avait été détectée sur les dongles OBD2 fournis par la société française Mobile Devices, il n’y a pas de prise de contrôle possible via le réseau des opérateurs téléphoniques.
Nous félicitons l’équipe de recherche qui est derrière la démonstration du jour
Tesla, qui dispose en interne d’une équipe de hackers chargés d’imaginer tous les scénarios d’attaque possibles, subit tout de même là sa première attaque médiatisée, qui montre que sa sécurisation n’est pas non plus infaillible. Or il faudra toutes les assurances possibles lorsque les véhicules connectés deviendront très nombreux sur les routes, et qu’un piratage par une personne mal intentionnée pourra provoquer des milliers d’accidents simultanés.
« Nous nous sommes rapprochés de la communauté des chercheurs en sécurité pour tester la sécurité de nos produits afin que nous puissions réparer les éventuelles vulnérabilités avant qu’elles ne causent des problèmes à nos clients. Nous félicitons l’équipe de recherche qui est derrière la démonstration du jour, et nous prévoyons de les récompenser à travers notre programme de bug bounty, qui a été créé pour encourager ce type de recherches », note Tesla. Le constructeur a effectivement lancé son programme de récompenses pour les hackers qui lui signalent les failles découvertes, mais avec seulement un maximum de 10 000 dollars à la clé, ce qui est très peu par rapport aux 200 000 dollars que peut proposer Apple.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !