histats

Le piratage Tesla d’un adolescent montre à quel point des applications tierces vulnérables peuvent fabriquer des voitures

Le piratage Tesla d’un adolescent montre à quel point des applications tierces vulnérables peuvent fabriquer des voitures


Washington DC
CNN

Un adolescent allemand dit avoir trouvé une vulnérabilité dans une application installée dans certaines Teslas qui lui permettait de déverrouiller des portes, de faire clignoter des phares et d’écouter de la musique. Le piratage met en évidence le manque relatif de surveillance dans les applications que certains conducteurs peuvent télécharger sur leur voiture.

David Colombo a identifié une vulnérabilité dans TeslaMate, une application tierce que certains propriétaires de Tesla utilisent pour analyser les données de leur véhicule. Il a eu accès à 25 Teslas qui utilisent l’application, et il n’a pas eu accès à la direction, au freinage ou à l’accélération, ce qui peut être particulièrement dangereux.

L’exploit a ouvert un certain nombre d’opportunités potentiellement indésirables pour les conducteurs, a déclaré le pirate.

“Imaginez que la musique explose au volume maximum et chaque fois que vous voulez l’éteindre [sic] ça recommence, ou imaginez que chaque fois que vous déverrouillez vos portes, elles se verrouillent à nouveau », a écrit Colombo, le jeune de 19 ans derrière le piratage, dans un article de Medium détaillant le piratage. Colombo a déclaré qu’il pouvait même suivre l’emplacement des véhicules Tesla au fur et à mesure que leurs propriétaires passaient leur journée.

Colombo a déclaré à CNN Business qu’il avait immédiatement signalé la vulnérabilité qui avait permis le piratage aux parties impliquées, y compris Tesla. Colombo dirige une entreprise de cybersécurité, et il n’est pas rare que les chercheurs en sécurité recherchent des vulnérabilités logicielles pour une compensation potentielle. Tesla offre des incitations en espèces aux personnes qui signalent des bogues dans le logiciel, mais Colombo a déclaré qu’il n’était pas payé car la vulnérabilité se trouvait dans une application tierce, et non dans l’infrastructure de Tesla.

See also  Authy a été piraté, voici comment vous protéger

(TeslaMate et Tesla n’ont pas répondu à une demande de commentaire.)

Des voitures, y compris des Tesla, ont déjà été piratées. Mais les experts en cybersécurité pensent que c’est la première fois qu’un véhicule est piraté via une application qui a obtenu un accès direct à certaines commandes et données du véhicule. Le logiciel TeslaMate est installé sur un ordinateur hors véhicule, puis accessible sur le véhicule via l’interface de l’application. Les applications peuvent ravir les conducteurs avec des services que leur voiture n’aurait pas autrement, ainsi que créer de nouveaux revenus pour les constructeurs automobiles grâce aux frais liés aux applications.

Mais les experts en cybersécurité avertissent que l’industrie automobile doit mûrir, car les risques augmentent à mesure que les applications embarquées deviennent plus courantes dans les années à venir.

“[Automakers] il faut penser aux voitures auto-défensives avant les voitures autonomes », a déclaré à CNN Business Srinivas Kumar, vice-président de la société de cybersécurité DigiCert qui dirige les efforts pour protéger les appareils connectés. « Si une voiture ne peut pas se défendre contre une attaque, croyez-vous qu’elle est autonome ? »

Colombo a déclaré que la prévention de futurs piratages nécessitera une coopération entre les constructeurs automobiles, les fabricants d’applications et les propriétaires de voitures.

Une façon d’empêcher un piratage de cette nature, a-t-il dit, serait que Tesla restreigne davantage l’accès des applications aux données et aux commandes. Par exemple, une application peut être limitée à ne pouvoir voir que des données, telles que si les portes sont verrouillées, mais ne pas pouvoir les déverrouiller.

See also  Russia released a Ukrainian app for hacking Russia that was actually malware

“Dans un monde parfait, les applications d’un magasin d’applications que vous pouvez télécharger sur votre Tesla n’auraient accès à rien de critique”, a déclaré Colombo.

Les applications tierces sont de plus en plus disponibles dans les voitures neuves. Certains modèles plus récents offrent une sélection limitée d’applications sur le système d’infodivertissement. Par exemple, certains conducteurs de Cadillac peuvent télécharger Spotify, NPR et Weather Channel. Les nouveaux modèles Ford proposent des applications telles que Waze, Domino’s et Pandora.

Tesla n’a pas officiellement lancé un moyen pour les créateurs d’applications d’ajouter des applications à leurs véhicules. Mais les passionnés de Tesla férus de technologie ont écrit sur la façon de le faire.

Moshe Shlisel, PDG de la société israélienne de cybersécurité GuardKnox, a déclaré que les constructeurs automobiles devraient examiner attentivement les applications qui se retrouvent sur leurs véhicules pour assurer la sécurité. GuardKnox développe un moyen pour les voitures de surveiller leurs applications et de les fermer si elles font quelque chose de mal, comme communiquer avec une partie du véhicule qui n’est pas autorisée.

“C’est un signal d’alarme pour toute l’industrie”, a déclaré Shlisel à propos du piratage de Colombo.

Il s’attend à ce que les voitures du futur aient le choix entre des centaines de milliers d’applications.

General Motors examine les applications et les analyse pour détecter les vulnérabilités, selon le porte-parole Darryll Harrison. Ford, qui autorise également un ensemble limité d’applications sur certains véhicules, a refusé de commenter cette histoire.

Mais le filtrage des applications qui apparaissent sur les systèmes d’infodivertissement n’empêchera pas une personne possédant des compétences techniques sophistiquées d’exécuter une application sur un véhicule, quelle que soit l’approbation du constructeur automobile. Cela pourrait être fait via une connexion USB ou une vulnérabilité en direct qui s’est produite lors du piratage de Tesla, selon des experts en cybersécurité.

See also  Privacy Today: High-End Cybersecurity Guide to Staying Safe Online in 2023

La National Highway Traffic Safety Administration a publié les meilleures pratiques en matière de cybersécurité en 2016, mais elle n’a pas créé de normes pour les applications installées dans les véhicules. L’industrie automobile non plus.

“En ce moment, c’est la saison ouverte”, a déclaré Shlisel.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *