Une faille de l’application mobile de la Tesla Model S permet de la voler

Par

le

La société norvégienne de sécurité Promon a réussi a déverrouiller une Tesla Model S à l’aide d’une faille de l’application mobile.

La société norvégienne de sécurité Promon, basée à Oslo, a révélé ce qu’elle prétend être un «manque de sécurité» dans l’application smartphone Android de Tesla Motors. Dans une vidéo et un blog publiés sur le site Web de Promon, les experts en sécurité ont montré comment cette faille pourrait être exploitée pour localiser, déverrouiller et voler une voiture Tesla Model S.

« Comme l’illustre la vidéo de démonstration, nos experts ont été en mesure de prendre le contrôle total d’un véhicule Tesla, y compris la localisation et le suivi de la voiture, l’ouverture des portes, permettant de la faire fonctionner sans clé », ont déclaré les chercheurs de Promon dans le blog. « Tout cela est essentiellement fait en attaquant et en prenant le contrôle de l’application Tesla, ce qui souligne l’importance de la sécurité de l’application, et les implications plus larges que cela pourrait avoir pour les périphériques connectés à l’IOT en général. »

Afin de mener à bien leur hack, les chercheurs ont d’abord trompé le propriétaire d’une Tesla – dans ce cas, un autre chercheur de Promon – par une attaque de phishing effectuée via un hotspot Wi-Fi gratuit près d’une station de charge Tesla. Le propriétaire du véhicule s’est vu offrir un burger gratuit en téléchargeant une application malveillante.

Ce malware a ensuite permis aux pirates de prendre le contrôle de l’application Tesla, qui est utilisée par les propriétaires pour vérifier l’état de charge, guider les véhicules dans des parkings bondés et pour ouvrir les portes à distance sans clé. Ceci, à leur tour, leur a permis de prendre le plein contrôle de la voiture et d’activer la fonctionnalité de conduite sans clé, qui permet de conduire la voiture sans clé fob.

« Notre test est le premier à utiliser l’application Tesla comme point d’entrée et va un peu plus loin en montrant qu’une application compromise peut conduire directement au vol d’une voiture », a déclaré le fondateur de Promon, Tom Lysemose Hansen, qui ajoute que la démonstration a été faite en utilisant la faille récemment révélée par les chercheurs de Keen Security Lab.

En septembre, des pirates de cette même entreprise, qui ont partagé leurs recherches avec Tesla, ont montré qu’ils pouvaient pirater à distance une voiture Model S pour déverrouiller les portes, ouvrir le coffre et même activer les freins quand la voiture se déplaçait.

Un jour après que le hack a été révélé, Tesla a annoncé avoir corrigé la faille de sécurité via un nouveau correctif logiciel.

Cependant, en réponse au hack de Promon, un porte-parole de Tesla a déclaré qu’il ne révélait pas de « vulnérabilités spécifiques à Tesla ».

« Cette démonstration montre ce que la plupart des gens savent intuitivement – si un téléphone est piraté, les applications sur ce téléphone peuvent ne plus être sécurisées », a déclaré le porte-parole à Electrek. « Les chercheurs ont montré que des techniques connues d’ingénierie sociale pouvaient être utilisées pour tromper les gens dans l’installation de logiciels malveillants sur leurs appareils Android, compromettant leur téléphone et toutes les applications qui s’y trouvent, ce qui inclut également leur application Tesla. »


Articles recommandés