La Tesla Model 3 est l'une des voitures les plus avancées de la planète, en partie grâce à l'utilisation intensive d'ordinateurs puissants pour son système d'autopilotage Autopilot, l'intégration de logiciels lourds dans de nombreuses fonctions du véhicule, et plus encore. Tesla est également un leader du secteur en ce qui concerne les mises à jour en direct du système qui apportent de nouvelles fonctionnalités ou des corrections pour les fonctionnalités existantes.Mais cette intégration complexe de logiciels et de matériel a été pendant longtemps exposée à de potentiels exploits grâce à une vulnérabilité découverte récemment par le fondateur de SafeKeep Cybersecurity. Jacob A., décrit comme un ingénieur chevronné en cybersécurité, a découvert un déni de service (DoS) dans l'interface Web qui tourne sur l'écran central de la Tesla Model 3. Cet écran est le seul moyen d'accéder à de nombreuses fonctions importantes du véhicule et de voir des choses comme la vitesse à un instant donné, l'autonomie, l'état de charge, l'état du pilote automatique, etc.
En effet, en raison d'un bogue JIT trouvé dans le navigateur Web, Jacob a pu créer une page Web malveillante accessible depuis l'écran central pendant la conduite, ce qui signifie que vous pouvez interagir avec Internet pendant que vous conduisez un véhicule Model 3 du constructeur. Selon Jacob, une fois que vous visitez cette page Web, elle fige complètement l'écran d'affichage, y compris toutes les informations qui y sont affichées en ce moment.
« J'ai pu trouver une vulnérabilité de déni de service (DoS) après avoir enquêté sur l'interface Web de la Tesla Model 3. J'ai été inspiré par l'extraordinaire équipe, Fluoroacetate, qui a découvert un bogue JIT dans le navigateur. Après de nombreux essais et erreurs, j'ai trouvé un bogue dans le navigateur Web », lit-on dans la publication de safekeepsecurity.com. « Grâce à un code que j'ai pu trouver sur Github, (grâce à CrashSafari), j'ai pu héberger une page Web malveillante avec ce code », a-t-il ajouté. Voici, ci-dessous, des vidéos enregistrées par Jacob :
Cette vulnérabilité signifie que le conducteur de la Model 3 ne peut plus interagir avec le véhicule via l'écran tactile pour modifier les paramètres. Selon les conclusions de Jacob, « l'interface de conduite des véhicules Tesla Model 3 dans toute version antérieure à 2020.4.10 permet un déni de service en raison d'une séparation incorrecte des processus, ce qui permet aux attaquants de désactiver l'indicateur de vitesse, le navigateur Web, les commandes de climatisation, la navigation, les notifications du pilote automatique et les notifications des clignotants ainsi que d'autres fonctions diverses à partir de l'écran principal ».
Bien que vous puissiez physiquement utiliser vos clignotants, les flèches répétitives sur l'écran ne fonctionnent plus, selon Jacob. En outre, toutes les notifications du pilote automatique cessent de fonctionner. Le problème affectait tous les véhicules du modèle 3 utilisant la version 2020.4.10 ou une version plus ancienne du logiciel.
Cependant, Jacob A. a pu travailler avec les ingénieurs logiciels de Tesla - en suivant les pratiques de divulgation appropriées avec le programme Bugcrowd Bounty de Tesla - afin que cette vulnérabilité soit résolue à partir de toutes les mises à jour ultérieures du logiciel de la Tesla Model 3. « Après avoir signalé cette vulnérabilité par l'intermédiaire de Bug Crowd, j'ai eu l'incroyable plaisir de travailler avec l'équipe Tesla pour résoudre ce problème », a-t-il écrit.
Selon un commentateur, la faille découverte est un problème de sécurité, mais qui n’est pas aussi grave qu’on pouvait le penser. Selon lui, « Le contrôle de bas niveau de la voiture fonctionne toujours normalement, c'est juste l'interface utilisateur qui se bloque, désactivant l'affichage principal, tous les affichages et toutes les notifications ». « Le redémarrage de l'interface utilisateur peut résoudre le problème », d’après son commentaire.
Cependant, selon lui, « une mauvaise page Web avec une boucle de JavaScript qui bloque le navigateur Web peut, apparemment, entraîner une défaillance complète de toute l'interface utilisateur, voire désactiver le compteur de vitesse, le clignotant (seulement la notification, visuelle et sonore, pas le signal réel), et l'état du pilote automatique. Cela reste un drapeau rouge et n'est pas un signe de bonne ingénierie », a-t-il écrit. Qu’en pensez-vous ?
Source : Safekeepsecurity.com
Et vous ?
Que pensez-vous de cette vulnérabilité ?Lire aussi
Des hackers contrôlent toutes les fonctions d'une Tesla Model S, y compris le système de freinage, grâce à une attaque à distance Pwn2Own 2019 : piratez le logiciel de la voiture électrique et remportez une Tesla Modèle 3 et près d'un million $, la faille devant être non signalée Des vulnérabilités critiques affectant des voitures BMW dévoilées, certaines d'entre elles sont exploitables à distance Tesla annonce que le nouvel ordinateur pour une conduite entièrement autonome de ses véhicules est en production, et fera ses preuves ce mois-ci