Des chercheurs en sécurité rapportent avoir découvert un défaut de conception qui leur a permis de détourner une Tesla à l’aide d’un Flipper Zero, un outil de piratage controversé à 169 $. Les partenaires Tommy Musk et Talal Haj Bakry de Mysk Inc. a déclaré que l’attaque était aussi simple que de glisser les informations de connexion d’un propriétaire de Tesla, d’ouvrir l’application Tesla et de partir. La victime n’aurait aucune idée qu’elle a perdu son véhicule d’une valeur de 40 000 $. Mysk a déclaré que l’exploit prenait quelques minutes et que pour prouver que tout fonctionnait, il a volé sa propre voiture.

Le problème n’est pas un « piratage » au sens d’intrusion dans un logiciel, mais une attaque d’ingénierie sociale qui incite un utilisateur à transmettre ses informations. À l’aide d’un Flipper, les chercheurs ont mis en place un réseau WiFi appelé « Tesla Guest », le nom que Tesla utilise pour ses réseaux invités dans les centres de service. Musc puis créé un site Web qui ressemble à la page de connexion de Tesla.

Le processus est simple. Dans ce scénario, les pirates pourraient diffuser le réseau à proximité d’une borne de recharge, où un conducteur ennuyé pourrait chercher à se divertir. La victime se connecte au réseau WiFi et saisit son nom d’utilisateur et son mot de passe sur le faux site Internet de Tesla. Le pirate informatique utilise ensuite les informations d’identification pour se connecter à la véritable application Tesla, ce qui déclenche un code d’authentification à deux facteurs. La victime saisit ce code sur le faux site Web et le voleur accède à son compte. Une fois connecté à l’application Tesla, vous pouvez configurer une « clé de téléphone » qui vous permet de déverrouiller et de contrôler la voiture via Bluetooth avec un smartphone. A partir de là, la voiture est à vous.

Vous pouvez voir la démonstration de l’attaque par Mysk dans la vidéo ci-dessous.

Selon MuscTesla n’informe pas les utilisateurs lorsque de nouvelles clés sont créées, de sorte que la victime ne saura pas qu’elle a été compromise. Mysk a déclaré que les méchants n’auraient pas non plus besoin de voler la voiture tout de suite, car l’application vous montre l’emplacement physique du véhicule. Le propriétaire de Tesla pourrait finir de recharger la voiture et partir faire du shopping ou se garer devant sa maison. Le voleur se contentait de surveiller l’emplacement de la voiture à l’aide de l’application, puis valsait au moment opportun et partait.

« Cela signifie qu’en cas de fuite d’un e-mail et d’un mot de passe, un propriétaire pourrait perdre son véhicule Tesla. C’est insensé », a déclaré Tommy Mysk. « Les attaques de phishing et d’ingénierie sociale sont très courantes aujourd’hui, en particulier avec l’essor des technologies d’IA, et les entreprises responsables doivent prendre en compte ces risques dans leurs modèles de menace. »

Lorsque vous achetez une Tesla, l’entreprise vous fournit une carte d’accès physique pour la voiture. Le Manuel du propriétaire de la Tesla Model 3 indique “La carte-clé est utilisée pour” authentifier “les clés du téléphone afin de fonctionner avec le modèle 3 et pour ajouter ou supprimer d’autres clés.” Cependant, lorsque Mysk a essayé cet exploit, il a semblé que ce n’était pas vrai.

Selon Mysk, il a testé la vulnérabilité à plusieurs reprises avec sa propre Tesla. Mysk a déclaré qu’il utilisait un iPhone fraîchement réinitialisé qui n’avait jamais été associé à sa voiture auparavant, et il s’est assuré qu’il n’y avait aucun lien entre ce téléphone et sa véritable identité via l’identifiant Apple ou l’adresse IP. Mysk a déclaré qu’il était capable de créer une clé de téléphone plusieurs fois sans accéder à la carte-clé physique de Tesla.

Mysk a déclaré avoir contacté Tesla via son programme de rapport de vulnérabilité, mais la société a répondu qu’il ne s’agissait pas d’un réel problème. Il a partagé une copie de l’échange avec Gizmodo. “Nous avons enquêté et déterminé que c’était le comportement prévu”, a déclaré Tesla dans l’e-mail. “La section” Clé de téléphone “de la page du manuel du propriétaire à laquelle vous avez lié ne fait aucune mention de la nécessité d’une carte-clé pour ajouter une clé de téléphone.”

Tesla, qui ignore généralement les questions des médias, n’a pas immédiatement répondu à une demande de commentaire.

“La confirmation par l’équipe de sécurité des produits Tesla qu’il s’agit du ‘comportement prévu’ est absurde”, a déclaré Mysk. “La conception permettant de coupler une clé de téléphone est clairement rendue très simple au détriment de la sécurité.”

Selon Mysk, il semble que la carte-clé physique ne soit nécessaire que pour « authentifier » la clé du téléphone en tant que mécanisme de sécurité. Lors des tests de Mysk, il a pu configurer la clé du téléphone lorsqu’il se tenait à proximité ou était assis dans la voiture. Si la voiture était trop loin, le processus de configuration échouerait et l’application demanderait la carte-clé physique. Mais tant qu’il était à proximité, Mysk a déclaré qu’il était capable d’ajouter une nouvelle clé de téléphone sans la carte-clé.

“Avec la conception actuelle de Tesla, si un attaquant possède le nom d’utilisateur et le mot de passe de la victime, il peut repartir avec le véhicule de la victime”, a déclaré Mysk. « Si une victime est trompée pour révéler ses informations d’identification, elle ne devrait pas tout perdre. Ils ne devraient pas perdre leur voiture.

Le Flipper Zéro est un appareil controversé conçu pour les amateurs, les pirates informatiques et les personnes souhaitant les arrêter. C’est comme un couteau suisse numérique, avec un variété de fonctionnalités de connectivité sans fil qui vous permettent de jouer avec (et d’accéder à) d’autres appareils. Récemment, le co-fondateur de Flipper a déclaré à Gizmodo que l’objectif de l’appareil était de dénoncer les mauvaises pratiques de sécurité des grandes technologies. Cependant, il convient de noter qu’il existe une grande variété d’autres appareils peu coûteux qui vous permettraient d’exploiter cette vulnérabilité de Tesla exactement de la même manière.

Il ne serait pas difficile pour Tesla de résoudre ce problème. Musk a déclaré que l’entreprise devrait rendre obligatoire l’authentification par carte-clé avant d’ajouter des clés de téléphone, et Tesla devrait informer les utilisateurs lorsque de nouvelles clés sont créées. Mais sans action de la part de l’entreprise, les propriétaires de Tesla pourraient être des cibles faciles.

Parfois, une interface informatique élégante et sophistiquée donne une illusion de sécurité, mais le plus souvent, les couches supplémentaires de complexité nous rendent plus vulnérables. Il y a 20 ans, les voleurs de voitures avaient essentiellement deux choix : s’emparer du porte-clés du conducteur ou câbler le véhicule à chaud. Mais lorsque votre clé de voiture est composée d’un ensemble de uns et de zéros, les choses peuvent devenir compliquées.