Être le premier à parvenir à pirater une Tesla Model 3, c’était l’objectif d’une compétition de hackers qui se tenait au Canada. Et une équipe y est parvenue, gagnant un prix… et la voiture !
La compétition Pwn2Own est un évènement qui se tient annuellement dans le cadre de la conférence de sécurité CanSecWest de Vancouver, au Canada, et qui serait le lieu de rassemblement des meilleurs hackers et chercheurs en sécurité informatique du monde. Chaque équipe qui y prend part se voit allouer une même liste d’équipements et de logiciels et celle qui parvient en premier à trouver une brèche gagne un prix ainsi que, dans le cas ici, une voiture.
La « victime » sur laquelle se sont acharnés les participants cette année était donc une Tesla Model 3 (et non une Model S comme sur la photo du tweet ci-dessous), signe que la connectivité est aujourd’hui primordiale dans les voitures modernes. Mais avec ces nouvelles capacités viennent des vulnérabilités inédites, comme l’a prouvé l’équipe gagnante baptisée Synacktiv.
Commentaires
Que signifie "prendre totalement le contrôle du véhicule"? On peut le faire rouler avec personne dedans? Ce serait marrant de mettre en marche une armée de TM3 zombies qui vont partir faire une manif et affronter les crs :-) Pacifiquement bien sûr car les Tesla n'ont pas encore l'option lanceur de cocktails...
A noter que Synacktiv est une société de sécurité française ... cocorico ! :)
Impressionnant ! bravo à cette équipe, si cela peut rendre les véhicules plus sûr
Bravo aux petits malins.
Mais il n'y a aucun ultimatum. C'est la procédure normale quand on trouve une faille.
On informe le propriétaire et passé un certain délai on rend publique la faille.
Ou on exploite la faille. Voler des voitures est compliqué car il faut ensuite les revendre pour en tirer profit. La voiture est facilement identifiable et à un moment il faut s'exposer pour la prendre et ensuite la vendre. Bloquer un parc complet en demandant une rançon à chaque propriétaire pour débloquer sa voiture est beaucoup moins risqué car totalement dématérialisé. Et plus le parc bloqué est important, plus vous pouvez demander une rançon peu élevée pour augmenter le nombre de propriétaires disposés à payer. Pour ce challenge chaque équipe disposait des mêmes moyens et la meilleure a trouvé en premier une faille. Avec d'autres moyens ils en auraient certainement trouvée une autre. Quand le parc à attaquer sera suffisamment conséquent, je ne serai pas étonné que ce type de hacking apparaisse.
90 jours plus tard à la une, des milliers de Tesla Model 3 disparaissent dans la nuit.
:D
En 90 jours, Tesla aura comblé la faille. Ca fait minimum 3 versions de mise à jours.
Il n'y a vraiment aucun second degré chez l'automobiliste propre.
A partir du moment où vous avez un accès par les ondes sur le véhicule, vous risquez toujours de vous faire hacker par des petits malins. Ces derniers sont aussi performants en informatique que ceux qui font les logiciels de ces voitures. D’après le « A lire aussi », cela fait donc déjà presque 1 ans que la faille existe ☹. Eh bien, pas bon pour Tesla et soi-disant son avance technologique …
De la même façon qu'un accès 'par les ondes' ouvre des brèches, un accès 'par la serrure' en ouvre également...
A un moment il faut bien une interface pour que le propriétaire puisse jouir de son bien.
Oui, la faiblesse de la serrure. Mais la grosse vulnérabilité est le fait que le petit malin Hacker puisse vous récupérer la « clé » à distance, à votre insu lors de votre usage sur un parking de supermarché, voir directement devant chez-vous. Rien ne vaut un bon Newman à l’ancienne, avec la gâchette en Tungstène pour tout bloquer en cas de forcing. Fini les vols, pour seulement trois sous.
Récupérer une clé qui sera périmée quelques secondes plus tard.
Pour ouvrir il faut récupérer 'en temps réel'. Soit mettre un genre de répéteur BT bidirectionnel entre votre téléphone et votre voiture. Possible mais dans une disposition tout à fait particulière.
De nos jours, on peut se douter qu’une avance technologique quelle qu’elle soit n’induit pas une cyber sécurité à l’épreuve des balles.