Depuis la mise à jour de l’été dernier, les Tesla font visiblement face à un danger supérieur. En voulant faciliter la vie des usagers, la firme a créé une brèche pour les hackers.

En effet, une fonctionnalité permet aux conducteurs de démarrer rapidement sans placer la clé sur la console centrale. Il est possible de le faire pendant 130 secondes, soit 2 min 10 s, ce qui permet un démarrage plus facile.

Mais lorsque la personne ouvre sa Tesla, c’est en fait une période de vulnérabilité qui débute. En effet, c’est à ce moment que la clé de la Tesla est sur liste blanche, c’est-à-dire disponible, sans action sur la clé ou la cellule NFC.

Pendant ce laps de temps, il est possible d’ajouter une clé à la voiture électrique sans autorisation. Pire, aucune indication d’un ajout de clé n’apparaît sur l’écran central de la voiture électrique.

À lire aussi Tesla : la sécurité de l’Autopilot en nette progression

En théorie, l’application Tesla permet de bloquer l’ajout de clé sans être connecté avec le compte de l’usager. Mais Martin Herfurt, un chercheur australien spécialiste de sécurité, a trouvé une faille.

Il révèle que pendant ces 130 secondes, le véhicule communique avec tout accessoire Bluetooth à basse énergie. Il a donc développé une application capable de communiquer avec le véhicule.

Des solutions pour régler une partie du problème

Bien évidemment, ce type de piratage n’est pas à la portée de tout le monde. Mais pour des hackers entraînés, développer une application simpliste permettant de communiquer avec le véhicule n’est pas sorcier.

« L’autorisation donnée dans l’intervalle de 130 secondes est trop générale », assure Herfurt. « Il n’y a pas de connexion entre le monde du compte en ligne et le monde du Bluetooth hors ligne. Chaque pirate qui peut voir le véhicule apparaître en Bluetooth pourra lui envoyer des messages VCSEC. »

Ce diminutif veut dire Vehicle Controller Secondary, et regroupe les accessoires pouvant servir de clé. Et sur la vidéo, on peut le voir rapidement appairer son application à la berline électrique.

À lire aussi Une voiture électrique autonome bloque un camion de pompier en pleine intervention à San Francisco

De là, il n’a plus qu’à revenir quand la voiture est stationnaire et sans surveillance pour la voler. Herfurt admet qu’il peut être difficile de réaliser l’opération en conditions réelles, mais il n’a pas eu de mal à le faire pour la vidéo.

Herfurt conseille de programmer un code pin sur la voiture pour pouvoir la démarrer et la conduire. Il admet cependant que ça n’empêche en rien des pirates de l’ouvrir et d’avoir accès à son contenu.