N’y allons pas par quatre chemins : quelle que soit le mode de verrouillage (serrure, code, NFC…) aucune serrure n’est réellement inviolable. Mais il est clair que passer à des modes de déverrouillage dématérialisés comme sur les voitures Tesla met au jour de nouvelles surfaces d’attaque que les pirates peuvent exploiter.
Martin Herfurt, un chercheur Autrichien, rapporte ainsi avoir découvert une nouvelle vulnérabilité qui semble toucher tous les modèles de Tesla. Concrètement, les pirates peuvent ajouter des clés NFC conçues par leurs soins dans un certain laps de temps lorsque le propriétaire d’une Tesla vient de déverrouiller son véhicule.
Tesla : une faille permet aux pirates d’ajouter leurs propres clés à l’insu du propriétaire
Tout cela à l’insu de ce dernier. La carte NFC fournie avec les voitures Tesla sont l’une des trois manières de déverrouiller le véhicule. Alternativement l’utilisateur peut ouvrir les portières avec une clé physique ou son application. Le problème des vols de Tesla résultant d’un piratage est réel. La marque a proposé plusieurs mises à jour correctives pour régler le problème.
Or dans le même temps le constructeur a aussi proposé des mises à jour plus centrée sur l’amélioration de l’expérience utilisateur de déverrouillage – qui semble à l’origine de la dernière vulnérabilité. Il est en effet possible depuis un certain temps de démarrer les Tesla à partir de la carte NFC sans placer cette dernière dans la console centrale.
Pour que cela fonctionne, le système lance un décompte de 130 secondes à partir du déverrouillage pour démarrer le véhicule. Or, pendant ce laps de temps, de nombreux verrous sont désactivés. Et il est possible selon le chercheur d’ajouter de nouvelles clés factices sans que le moindre mécanisme de sécurité ne vienne l’empêcher.
Le chercheur montre l’ensemble de la procédure dans la vidéo. Pour que l’astuce fonctionne il suffit simplement au pirate de se trouver à portée du véhicule et d’ajouter sa clé. Puis il ne reste plus qu’à attendre que le propriétaire revienne chez lui et gare sa voiture. De là, le pirate peut déverrouiller et démarrer la voiture sans la moindre effraction.
Lire aussi – Tesla – un deuxième cas de “voiture folle” observé
La vulnérabilité a été testée sur des Model 3 et Y mais elle touche vraisemblablement les autres modèles également. Pour se protéger, en attendant la mise en ligne d’un correctif, il existe une solution : il est possible de protéger le démarrage par code PIN. Notez néanmoins que cela n’empêchera pas les pirates d’ouvrir les portières.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
