IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un hacker de 19 ans trouve un bogue qui lui permet de contrôler plus de 25 Tesla à distance
Mais la faille exploitée ne se trouverait pas dans l'infrastructure de Tesla

Le , par Olivier Famien

137PARTAGES

11  0 
Un hacker de 19 ans basé en Allemagne déclare avoir trouvé une faille dans un logiciel tiers utilisé pour commander à distance les véhicules Tesla. Selon le spécialiste en sécurité informatique nommé David Colombo, cette faille lui permet d’exécuter certaines commandes à distance sur plus de 25 véhicules Tesla dans 13 pays à l’insu des propriétaires.

Dans une série de tweets envoyés par David Colombo, le fondateur de l’entreprise de sécurité informatique Colombo Tech explique qu’en exploitant la faille découverte, il est capable par exemple de déverrouiller à distance les portes et les fenêtres de certains véhicules Tesla, de désactiver leurs systèmes de sécurité comme le mode sentinelle. En outre, il affirme qu’il peut également exécuter certaines fonctions comme vérifier si le chauffeur est présent dans le véhicule, faire clignoter les phares du véhicule ou encore allumer le système audio stéréo. Encore plus inquiétant, David Colombo souligne qu’il pourrait potentiellement démarrer les Tesla affectés par la faille.

Toutefois, il lui est impossible de conduire le véhicule à distance, c’est-à-dire accélérer, freiner ou manœuvrer avec le volant. Mais déjà, avec ces contrôles entre les mains de personnes malveillantes, il est clair qu’il y a matière à s’inquiéter. David Colombo lui-même est d’accord pour dire qu’il est dangereux qu’une personne puisse diffuser de la musique à plein volume ou encore faire klaxonner la voiture à distance. En circulation, ce sont des fonctions qui pourraient facilement perturber le conducteur au point de lui faire faire un accident.

Colombo précise cependant que la faille découverte n’est pas une vulnérabilité qui se trouve dans l’infrastructure de Tesla. Le problème se situe plutôt au niveau des propriétaires. Selon le spécialiste en sécurité, le problème serait lié à la manière dont un logiciel tiers utilisé pour se connecter aux Tesla stocke les informations sensibles. Entre de mauvaises mains, ces informations pourraient être volées et réutilisées par des pirates pour envoyer des commandes malveillantes aux voitures. Une solution pour éviter cela serait d’activer la double authentification du côté des propriétaires. Mais certains ne l’ont pas fait, ce qui a permis à David Colombo de prendre la main sur plusieurs dizaines de véhicules Tesla.


Pour rassurer, Colombo déclare qu’il a été en contact avec des membres de l’équipe de sécurité de Tesla et le fabricant du logiciel tiers. Consécutivement à la publication de Colombo, l’éditeur de TezLab, l’application tierce permettant d’interagir avec les véhicules Tesla, a annoncé avoir découvert plusieurs milliers de jetons d’authentification de Tesla qui ont expiré du côté de Tesla. L’application TezLab utilise les API Tesla qui permettent aux applications de faire des choses comme se connecter à la voiture et activer ou désactiver le système de caméra antivol, déverrouiller les portes, ouvrir les fenêtres, etc. Selon l’éditeur de TezLab, cette expiration de milliers de jetons serait le résultat de l’accélération de la transition de Tesla à partir d’une version particulière de ses jetons d’authentification. Pour régler son problème, l’éditeur de TezLab a révoqué les jetons expirés et a demandé à ses utilisateurs de se reconnecter afin de rétablir la connexion avec leurs véhicules. Il est bon de préciser que ce n’est pas la première fois que des chercheurs découvrent des failles qui leur permettent de prendre le contrôle de véhicules Tesla à distance. L’an dernier, des chercheurs ont présenté des failles qui leur permettaient de pirater un véhicule Tesla à distance à partir d’un drone en utilisant un exploit zéro-clic.

À travers ce problème, c’est la problématique de la sécurité de l’Internet des objets (IdO) qui est remise en cause ici. Il y a quelques années, ce fut plus de 1,4 million de véhicules Jeep Cherokee nommés Uconnect qui ont été rappelés à cause de failles découvertes qui permettaient à des chercheurs de contrôler un certain nombre de fonctions sur ce modèle de voitures y compris de mettre la voiture à l’arrêt à distance pendant qu’elle est en marche. Au-delà des véhicules, ce sont de nombreux cas de harcèlement, de surveillance, etc. perpétrés par des personnes malveillantes qui exploitent des failles liées aux objets connectés pour s’inviter dans les domiciles des utilisateurs qui ont été rapportés.

Source : Twitter David Colombo, Twitter TezLab App

Et vous ?

Quel sentiment vous procurent ces failles découvertes sur les véhicules Tesla ;? Peur ;? Assurance ;? Indifférence ;?

Avec ces failles détectées, quels commentaires faites-vous au sujet de la sécurité des véhicules connectés en particulier et des objets connectés en général ;? Sont-ils plus sûrs ou moins surs que les véhicules et objets connectés ;?

Voir aussi

Des chercheurs parviennent à pirater un véhicule Jeep en prenant son contrôle à distance, Fiat Chrysler rappelle 1,4 million de véhicules affectés
Les objets connectés sont de plus en plus utilisés pour le harcèlement et l’intrusion dans les maisons, rapporte le NYT en s’appuyant sur des rapports
Les États-Unis demandent à Tesla de rappeler 158 ;000 véhicules pour cause de panne d’écran tactile, le défaut de sécurité concerne les anciens véhicules Models S et X
Des chercheurs piratent une voiture Tesla à distance à partir d’un drone en utilisant un exploit « ;Zéro-Clic ;», plusieurs véhicules électriques pourraient être touchés par ces vulnérabilités
IoT: des pirates s’appuient sur le thermostat connecté d’un aquarium pour pénétrer le réseau d’un casino et extirper 10 Go de data

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de archqt
Membre émérite https://www.developpez.com
Le 18/01/2022 à 10:52
Quand les voitures-taxi volants vont arriver, avec une faille on va les faire décoller et atterrir de très haut.
0  0 
Avatar de styck007
Membre du Club https://www.developpez.com
Le 20/01/2022 à 17:26
Sur beaucoup de voiture ( sauf les toutes dernières et celle très veilles ) , il suffit de se brancher physiquement sur le réseau CAN n'importe ou dans la voiture ( ou a l'extérieur , sous un passage de roue ou au niveau moteur en dessous ) , pour prendre par la suite la main sur la totalité du système de freinage , moteur , airbag etc ... , a distance bluetooth ou wifi .... donc 1 faille de plus ....
0  0 
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 17/01/2022 à 14:12
Mais c'est une de truc de fou furieux, les voitures TESLA ! On est largement au-delà d'une simple voiture à motorisation électrique avec des possibilités et des failles pareilles.
2  6