Transformons le piratage de l’adolescent Tesla en un moment d’apprentissage • TechCrunch
Le buzz autour du hacker Tesla de 19 ans, David Colombo, est bien mérité. Un bogue dans un logiciel tiers lui a permis d’accéder à distance à 25 des principaux constructeurs mondiaux de voitures électriques dans 13 pays. Le pirate informatique a partagé qu’il était capable de déverrouiller les portes à distance, d’ouvrir les fenêtres, de diffuser de la musique et de démarrer chaque véhicule.
Les vulnérabilités qu’il a exploitées ne se trouvent pas dans le logiciel de Tesla, mais dans une application tierce, il y a donc des limites à ce que Colombo pourrait réaliser ; il ne pouvait rien faire pour diriger, accélérer ou freiner. Mais il a pu ouvrir les portes, klaxonner, contrôler les lampes de poche et collecter des données privées sur les véhicules piratés.
Les voitures électriques sont amusantes. Ils sont superbement connectés, constamment mis à jour et offrent une excellente expérience utilisateur, mais ce sont des voitures, pas des téléphones portables. Assaf Harlel
Pour les professionnels de la cybersécurité, une telle exécution de code à distance ou un tel vol de clés d’application est un phénomène quotidien, mais j’espère que nous ne deviendrons pas si insensibles aux divulgations que nous manquerons l’occasion d’utiliser cela comme un moment d’apprentissage pour éduquer les parties prenantes à travers de écosystème de voitures connectées.
Ce compromis est un problème d’hygiène de cybersécurité 101, et franchement, une erreur qui ne devrait pas se produire. Le logiciel tiers en question était peut-être un enregistreur de données auto-alimenté, car Tesla a soudainement interrompu des milliers de jetons d’authentification le lendemain de la publication par Colombo de son fil Twitter les alertant. Certains autres utilisateurs de Twitter ont soutenu cette idée, notant que la configuration par défaut de l’application ouvrait la possibilité à quiconque d’accéder à distance au véhicule. Cela fait également suite au premier tweet de Colombo qui affirmait que la vulnérabilité était “la faute des propriétaires, pas de Tesla”.
Les nouvelles normes de cybersécurité automobile SAE/ISO-21434 et le règlement 155 de l’ONU obligent les constructeurs automobiles (également appelés OEM) à effectuer une analyse des menaces et une évaluation des risques (TARA) sur l’ensemble de l’architecture du véhicule. Ces réglementations ont rendu les équipementiers responsables des cyber-risques et des expositions. La responsabilité s’arrête là.
Il est un peu difficile qu’un OEM sophistiqué comme Tesla ait supervisé le risque d’ouvrir ses API à des applications tierces. Les applications de mauvaise qualité peuvent ne pas être bien protégées, ce qui permet aux pirates d’exploiter leurs faiblesses et d’utiliser l’application comme un pont vers la voiture, comme cela semble être le cas ici. L’intégrité des applications tierces incombe aux constructeurs automobiles : il leur appartient de filtrer ces applications, ou au moins de bloquer l’interface de leurs API avec les fournisseurs d’applications tiers non certifiés.
Oui, les consommateurs ont une certaine responsabilité de s’assurer qu’ils téléchargent et mettent à jour fréquemment des applications à partir de magasins d’applications approuvés ou inspectés par leurs OEM, mais une partie de la responsabilité des OEM consiste à identifier ces risques dans le processus TARA et à empêcher les applications non autorisées d’accéder à leur Véhicules.
Chez Karamba Security, nous avons mené quelques dizaines de projets TARA en 2021 et avons constaté de grandes variations dans la préparation à la sécurité des équipementiers. Néanmoins, tous accordent une grande importance à l’identification du plus grand nombre de risques et à leur traitement en amont de la production, afin de préserver la sécurité des clients et de se conformer aux nouvelles normes et réglementations.
Voici les meilleures pratiques que nous recommandons aux OEM :
- Sécurisez les secrets/certificats – cela garantit une longue liste d’attaques qui reposent sur l’usurpation d’identité réussie de quelqu’un ou quelque chose d’autre échoue (remplacement du micrologiciel, usurpation d’informations d’identification, etc.).
- Accès au segment et fonctionnalité (de manière transparente pour l’utilisateur) – même si un point échoue, les dommages sont limités.
- Testez-vous (ou mettez en place un programme de primes pour que les autres le fassent) en continu – et corrigez rapidement ce que vous trouvez.
- Protégez-vous contre l’exécution à distance des attaques de code en renforçant vos systèmes connectés en externe, tels que l’infodivertissement, la télématique et le chargeur embarqué.
- Ouvrez vos API. Ne permettez pas à des tiers non autorisés de les utiliser. Une telle pratique aurait épargné la récente attaque.
Notre conseil aux consommateurs est d’éviter strictement de télécharger des applications qui ne sont pas dans le magasin de l’OEM. Aussi tentant que cela puisse paraître, de telles applications peuvent exposer le conducteur et les passagers à des risques extrêmes en matière de cybersécurité et de confidentialité.
Les voitures électriques sont amusantes. Ils sont superbement connectés, constamment mis à jour et offrent une excellente expérience utilisateur, mais ce sont des voitures, pas des téléphones portables. Le piratage des véhicules met en danger la sécurité et la vie privée du conducteur.
![[2023] Pokemon Go Hack: How to play Pokemon Go safely on iPhone](https://www.theintegritywebs.com/wp-content/uploads/2023/01/image2-120x120.jpg "[2023] Pokemon Go Hack: How to play Pokemon Go safely on iPhone")
