Tesla est revenu en tant que sponsor de l'événement Pwn2Own 2023, offrant des prix en espèces et des voitures aux hackers blancs qui pourraient découvrir des vulnérabilités de sécurité dans leurs véhicules. L'équipe de Synacktiv a relevé le défi et a réussi à pirater une Tesla Model 3, ce qui lui a valu 100 000 dollars et le véhicule en guise de prix.
Le concours annuel de piratage informatique Pwn2Own est connu pour ses enjeux élevés, et la participation de Tesla à l'événement démontre l'engagement de l'entreprise en matière de cybersécurité.
Cette année, le fabricant de véhicules électriques a apporté un Model 3 et un Model S comme cibles pour les pirates. Tesla a offert un premier prix de 600 000 dollars, plus la voiture, à toute personne ou équipe capable de présenter une chaîne d'exploitation complexe menant à la compromission complète du véhicule.
Synacktiv fait la démonstration d'un exploit complexe et remporte le premier prix
L'équipe de Synacktiv a relevé le défi en exécutant une attaque Time of Check to Time of Use (TOCTOU) contre la Tesla Energy Gateway. Ce type de vulnérabilité en matière de cybersécurité se produit lorsqu'un attaquant exploite la petite fenêtre temporelle entre le contrôle et l'utilisation d'une ressource, permettant ainsi un accès non autorisé ou une modification de la ressource pendant cette brève période.
C'est la deuxième année consécutive que Synacktiv réussit à exploiter une Tesla Model 3 lors de l'événement Pwn2Own. L'année dernière, ils ont réussi à exploiter le système d'infodivertissement du véhicule, mais la complexité du piratage n'a pas été suffisante pour remporter la voiture. Cette année, cependant, leur attaque TOCTOU réussie leur a permis de gagner 100 000 dollars, la Model 3 et 10 points de Master of Pwn.
L'événement met en lumière la sécurité des véhicules dans un monde connecté
La participation de Tesla à Pwn2Own souligne l'importance de la sécurité des véhicules à mesure que les VE deviennent de plus en plus connectés et sophistiqués. Les progrès technologiques s'accompagnent de la nécessité de mettre en place des mesures de sécurité robustes pour protéger les conducteurs, les passagers et les véhicules contre d'éventuelles cyberattaques.
Tesla a récemment publié la manière dont l'entreprise recueille et utilise les informations relatives à ses propriétaires et à ses conducteurs. Elle a également expliqué aux propriétaires comment obtenir des informations détenues par l'entreprise et comment les supprimer.
En invitant des pirates informatiques à tester les systèmes de sécurité de ses véhicules, Tesla peut recueillir des informations précieuses sur les vulnérabilités potentielles et mettre au point des défenses plus solides pour ses voitures. Cette approche proactive de la cybersécurité constitue un exemple positif pour l'industrie automobile et démontre l'engagement de Tesla à maintenir le plus haut niveau de sécurité pour ses clients.
SecurityWeek a rapporté qu'une équipe de sécurité de Tesla était présente lors de l'événement et a pu confirmer les résultats. On pense que l'entreprise utilise son système d'auto-mise à jour pour publier des corrections.
Ces dernières années, Tesla a beaucoup investi dans la cybersécurité et a travaillé avec des pirates informatiques pour améliorer la sécurité. En outre, le piratage des véhicules Tesla est un élément essentiel de la conférence sur le piratage informatique depuis un certain nombre d'années. Ce dernier piratage démontre qu'il existe encore des vulnérabilités qui doivent être corrigées.
Un aperçu de la Tesla Model 3
En France et en Europe, les premières livraisons clients de la Model 3 ont débuté en février 2019. Depuis, elle devient la plus grande success story mondiale de la voiture électrique. Une des caractéristiques de la voiture est son immense toit en verre allant du pare-brise à l’arrière de la voiture. Il assure une bonne luminosité mais aussi un meilleur aérodynamisme. En outre, l’intérieur de la Tesla Model 3 tranche radicalement avec les autres véhicules du marché par son minimalisme. L’instrumentation de bord se résume à un immense écran tactile central.
Construit pour sa sécurité, le Model 3 a obtenu la note de sécurité 5 étoiles de la NHTSA dans toutes les catégories et sous-catégories. Le modèle 3 a reçu le prix IIHS Top Safety Pick+, avec les meilleures notes dans toutes les catégories de résistance aux chocs et de prévention des collisions frontales. La Model 3 est conçue dès le départ comme un véhicule électrique, avec de l'acier à très haute résistance et un centre de gravité bas et solide. Avec un mélange d'aluminium et d'acier, il permet d'obtenir la meilleure rigidité structurelle et d'accroître la sécurité des occupants.
La position et le poids de la batterie montée sur le plancher permettent d'obtenir un centre de gravité très bas, ce qui réduit considérablement le risque de retournement.
Les différentes versions de la Model 3
En France, la Tesla Model 3 se décline en trois versions. Leurs dernières caractéristiques sont listées ci-dessous :
- la Model 3. Configurée en propulsion, celle-ci propose une autonomie de 491 km en cycle WLTP (510 km avec les jantes 18″ de série), un 0 à 100 km/h abattu en 6,1 secondes et une vitesse de pointe de 225 km/h ;
- la Model 3 « Grande Autonomie ». Également appelée Long Range aux Etats-Unis, celle-ci accueille une transmission intégrale pour un 0 à 100 km/h abattu en 4,4 secondes et une vitesse de pointe de 233 km/h. En matière d’autonomie, le constructeur communique sur 602 kilomètres en cycle WLTP (638 km avec les jantes 18″ de série) ;
- la Model 3 « Performance » qui reprend les bases de la version « Long Range » mais avec une motorisation plus poussée qui permet d’abattre le 0 à 100 km/h en 3,3 secondes et une vitesse de pointe de 261 km/h ;
- Basée sur la même batterie que la version Grande Autonomie, celle-ci annonce jusqu’à 547 km d’autonomie en cycle WLTP.
Un large éventail de cibles de piratage
Lors de l'événement annuel Pwn2Own, les récompenses disponibles dans chacune des catégories varient. Les exploits et les vulnérabilités de Windows RDP/RDS et d'Exchange, par exemple, ont permis d'obtenir des récompenses allant jusqu'à 200 000 dollars. De même, les bogues de VMware ESXi ont rapporté 150 000 dollars, les vulnérabilités de Zoom 75 000 dollars et les bogues de Microsoft Windows 11 30 000 dollars.
Les vulnérabilités dans la catégorie automobile - sans surprise - ont offert les récompenses les plus élevées, avec un total de 500 000 dollars à gagner pour les chercheurs qui ont découvert des failles dans les systèmes de Tesla, notamment son système d'infodivertissement, sa passerelle et ses sous-systèmes d'autopilotage.
Les chercheurs ont eu l'occasion de s'essayer à la Model 3 et à la Tesla S. Ceux qui ont trouvé des moyens de maintenir la persistance de la racine sur le système d'infodivertissement, le système de pilotage automatique ou le système de bus CAN de la voiture ont eu l'occasion de gagner 100 000 dollars supplémentaires. Le montant total offert de 600 000 dollars est le plus important de l'histoire de Pwn2Own pour une seule cible.
Paradoxalement, la catégorie des navigateurs, qui a fait les beaux jours de Pwn2Own à ses débuts, n'a pas suscité l'intérêt des chercheurs cette année. « Nous constatons le même niveau de participation que les années précédentes, à l'exception de la catégorie "navigateur" », explique Childs. « Personne ne s'est inscrit dans cette catégorie, et nous ne pouvons que spéculer sur les raisons de cette situation. »
Jusqu'à présent, au cours des 16 années d'existence de l'événement, les chercheurs ont découvert un total de 530 vulnérabilités critiques dans toute une série de technologies et ont reçu quelque 11,2 millions de dollars pour leur contribution.
Éligibilité à l'événement Pwn2Own
Les employés de Trend Micro Incorporated, Tesla Inc. et VMware Inc. ainsi que leurs sociétés affiliées, filiales, sociétés apparentées, agences de publicité et de promotion respectives et les membres du foyer de l'une des personnes susmentionnées ne sont pas autorisés à participer au concours. Ce concours est nul là où la loi l'interdit.
Les participants doivent avoir atteint l'âge de la majorité dans leur pays, province ou État de résidence au moment de l'inscription pour pouvoir participer et ne peuvent être résidents d'un pays sous embargo ou sanctionné par les États-Unis ou figurer sur une liste de personnes interdites d'accès ou interdites de séjour aux États-Unis. Tout logiciel ou technologie que les participants apportent ou font transférer dans le cadre du concours dans le pays où se déroule le concours ("lieu du concours" peut être soumis aux contrôles à l'exportation du pays de résidence ou d'origine du participant ou aux exigences en matière d'importation et d'exportation du lieu du concours. Les participants sont responsables du respect de tous les contrôles d'importation et d'exportation applicables du fait de leur participation au concours.
Le sponsor a le droit de demander à tout moment une preuve d'identité et/ou d'éligibilité pour participer au concours. Le fait de ne pas fournir cette preuve peut entraîner la disqualification. Toutes les informations personnelles et autres demandées par l'organisateur et fournies à ce dernier dans le cadre du concours doivent être véridiques, complètes, exactes et ne doivent en aucun cas induire en erreur. L'organisateur se réserve le droit, à sa seule discrétion, de disqualifier tout participant qui fournirait des informations personnelles fausses, incomplètes, inexactes ou trompeuses.
Si vous êtes un employé du secteur public, il est essentiel que vous vérifiiez le code d'éthique, les lois et/ou les règlements qui régissent votre capacité à accepter des objets de valeur de la part des entreprises avec lesquelles vous faites des affaires. Veuillez obtenir l'approbation nécessaire de votre organisation avant de participer au concours et/ou d'accepter un objet de valeur de la part du sponsor. En outre, les employés du secteur public, les employés des établissements d'enseignement publics et privés de la maternelle à la 12e année et toutes les bibliothèques, y compris les bibliothèques publiques, privées, collégiales ou universitaires, les bibliothèques de recherche et les bibliothèques privées, ne peuvent participer au concours que s'ils le font en dehors de leur statut officiel et non dans le cadre de leur emploi au sein de ces entités.
Prix pour l'événement Pwn2Own
Trend Micro offre de l'argent et des prix pendant le concours pour les vulnérabilités et les techniques d'exploitation contre les cibles énumérées dans les catégories ci-dessous. Le premier participant à compromettre avec succès une cible dans la catégorie sélectionnée gagnera le montant du prix indiqué pour cette cible spécifique. Tous les prix sont en dollar.
Le concours comporte sept catégories, à savoir :
- Virtualisation
- Navigateur Web
- Applications d'entreprise
- Serveur
- Escalade locale des privilèges
- Communications d'entreprise
- Automobile
Source : Vidéo
Et vous ?
Quel commentaire vous inspire le prix remporté par la société française Synacktiv ?
Que pensez-vous d'un tel événement ? Coup de pub ou nécessité ?
Voir aussi :
Les investisseurs concluent que Tesla est un constructeur automobile et non une entreprise technologique, l'achat de Twitter par Elon Musk a précipité la chute de l'action Tesla qui a baissé de 71 %
Une faille dans les voitures Tesla permet aux voleurs d'avoir leur propre clé et de s'emparer de la voiture en seulement 130 secondes, l'exploit tire parti du lecteur de carte NFC des voitures Tesla