Discussion :

[Coriolan]

Des hackers contrôlent toutes les fonctions d'une Tesla Model S
y compris le système de freinage, grâce à une attaque à distance

Avec la popularisation des voitures connectées, la question du piratage à distance se pose de plus en plus. Ces voitures dotées de systèmes électroniques un peu plus poussés peuvent en effet regorger de failles et de vulnérabilités, facilitant la mise à mal de la sécurité des passagers. Cette situation s’est concrétisée pour le constructeur Tesla Motors ; une équipe de chercheurs de sécurité chinoise a réussi à trouver une série de vulnérabilités qui, une fois combinées, permettent de contrôler à distance la Tesla Model S.

Dans une vidéo postée sur YouTube, l’équipe a montré comment un hacker peut facilement contrôler l’ensemble des fonctions de la voiture. Ce hack permet d’ouvrir le toit, pirater l’écran de contrôle, déverrouiller le véhicule, faire bouger les sièges, actionner les essuie-glaces, les rétroviseurs et même actionner la pédale de frein. L’attaque a permis également aux chercheurs d'accéder au Bus CAN (Controller Area Network) de la voiture, permettant aux différents ordinateurs spécialisés du véhicule de communiquer entre eux. « À notre connaissance, ceci est la première attaque à distance qui compromet le Bus CAN afin d’effectuer des contrôles à distance des voitures tesla », expliquent les chercheurs de Keen Security Lab. « Nous avons vérifié le vecteur d’attaque sur plusieurs variantes de la Tesla Model S. Il est raisonnable d’assumer que les autres modèles de la Tesla sont affectés. »

Cette attaque est d’autant plus spectaculaire qu’elle permet à un pirate de prendre le contrôle du système de freinage à distance; l’équipe a parfaitement illustré cela en demandant à une personne se trouvant à distance d’arrêter la voiture alors qu’elle était en train de rouler, une manœuvre accomplie facilement sans que le conducteur eût touché la pédale à frein. Une attaque similaire sur un véhicule roulant à pleine vitesse sur une autoroute aurait sûrement était catastrophique.

Après avoir relevé les vulnérabilités, l’équipe de chercheurs s’est empressée de les envoyer à Tesla avant de publier ses découvertes. La firme a sorti un correctif en dix jours, soulignant néanmoins que l’attaque ne pouvait avoir lieu que si le véhicule était connecté à un réseau Wifi malveillant et que le navigateur est utilisé pendant cette période. Heureusement pour les conducteurs de la Tesla, la voiture peut recevoir des mises à jour à distance et il est recommandé d’appliquer les dernières mises à jour.

L’équipe de chercheurs a apprécié l’attitude de Tesla qui a rapidement déployé un correctif ; cependant, cette attaque relance le débat sur la sécurité des conducteurs, alors que les voitures sont de plus en plus connectées et beaucoup tablent sur les voitures autonomes afin de réduire le nombre des victimes des accidents. Avec ce genre d’attaques à l’horizon, c’est un nouveau défi de sécurité qui se présente aux constructeurs, aux chercheurs de sécurité et aux régulateurs.

Source : Keenlab

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

L'administration Obama propose des règles à respecter par les constructeurs de voitures autonomes, qui ont le potentiel de sauver des milliers de vie

[AstOz]

Qu'en pensez-vous ?

Avec toutes ses discussions sur la progression du monde robotique dans notre quotidien, la question de la sécurité par rapport à la cybercriminalité est enfin soulevée.

Les risques encourus en vaut-il la chandelle ?
Que faire pour mettre en place des solutions protégeant les usagers de ces attaques ?

[Exentius]

Je suis d'accord avec mon VDD.
La question de l'électronique et des voitures autonomes, avec leurs avantage par rapport au danger que représentent les hacker se pose. Mais à mon sens ça va plus loin.

Personnellement, j'ai récemment changé de voiture pour une voiture sans fermeture centralisée des portes (je n'avais d'alternatives que des poubelles ou me ruiner). Et quand je vois que de plus en plus de pirates s'amusent à s'attaquer aux voitures avec de l'électronique, je me demande si ce n'est pas une bonne chose au final (Les journaux ont quand même mis quelques années à parler du fait qu'avec un simple brouilleur on peut empêcher un véhicule de se fermer, hahahah, la bonne blague).
De nombreuses actions de notre quotidien font appel à de l'électronique et du sans fil (par exemple le payement sans contact est une blague au niveau de la sécurité).
Le nombre de vulnérabilités et donc de risques s'en trouve accru, et le pire c'est que les non-initiés ne peuvent pas le savoir.

Comme l'explique si bien le vieux proverbe informaticien : Tout équipement connecté à un réseau est une faille possible.

[dk]

Qu'en pensez vous ?
C'est vraiment effrayant, et plus ça va, plus je pense que ces voitures autonomes n'ont aucune chance de voir le jour vu tous les problèmes techniques, éthiques et légaux induits.

[NSKis]

C'est une chance pour Tesla, la société va avoir une excuse de type "c'est pas moi, c'est le vilain hacker" à la prochaine plainte suite à un crash (humour noire)...

Pour info, Tesla fait face à une nouvelle plainte, en Chine cette fois, suite à un accident mortel d'une Tesla S

Gao Yaning, un conducteur âgé de 23 ans, est décédé en janvier, après une collision entre sa Tesla Model S et un véhicule de voirie, sur une autoroute de la province du Hebei (nord). Son père, Gao Jubin, a porté plainte contre Tesla en juin, selon son avocate, Cui Qiuna.

La famille se dit persuadée que le jeune homme avait activé le pilotage automatique de sa voiture (Autopilot) et accuse Tesla d'avoir exagéré auprès de ses acheteurs les capacités de ce système.

A l'ouverture du procès mardi devant un tribunal pékinois, Gao Jubin a réclamé une enquête pour vérifier si le système de pilotage automatique était en marche lors de l'accident.

Il demande à Tesla de cesser d'utiliser l'expression "conduite automatique" - formule en mandarin associée initialement à la promotion de l'Autopilot en Chine -, de présenter des excuses pour "publicité mensongère".

PS: Et oui, autre lieu, autres moeurs... En Chine, les victimes demandent des excuses, aux USA des dizaines de millions $ de dommages et intérêts...

[Matthieu Vergne]

Après les attaques DDOS sur les sites web, ce sera les attaques Tesla sur l'Élysée. On va retrouver des centaines de voitures Tesla bloquant la route.

[paneah]

c est vraiment un sérieux problème...avec le concept '' internet of everythings '' et différents défis que celui ci entraine, autant dire que les développeurs et les constructeurs ont du pain sur la planche. la sécurité est plus qu' un défit, c'est une nécessité,un besoin primordial

[ZenZiTone]

Et vous ?

Qu'en pensez-vous ?

Tant qu'il y aura des "hackers" pour chercher à corrompre un système, il y aura des failles. Comme dit plus haut, à partir du moment où un appareil est connecté, il est vulnérable. Après, tant que ces "hackers" agissent pour les sécuriser, ça me va. Ça sera une autre paire de manche quand ces véhicules seront majoritaires sur nos routes (on verra donc sûrement plus de hackers malintentionnés).

[Stan Adkens]

Des chercheurs ont démontré comment une Tesla Model S pouvait être piratée et volée en quelques secondes
En utilisant seulement 600 $ de matériel

La technologie de véhicule autonome évolue en dotant les voitures sans chauffeur de systèmes électroniques et informatiques beaucoup plus avancés. Cependant, ces systèmes ne sont pas à l’abri de multiples vulnérabilités pouvant mettre en mal la sécurité des passagers ou permettre aux personnes malveillantes de dérober ces voitures. Pour rappel, en 2016, les chercheurs de Keen Security Lab, après plusieurs mois de recherches, ont découvert plusieurs vulnérabilités en matière de sécurité et ont mis en œuvre avec succès le contrôle à distance de toutes les fonctions y compris le système de freinage sur Tesla Model S en mode Parking et Driving.

En 2017, une autre équipe de chercheurs de l'université KU Leuven en Belgique a démontré que les pirates pouvaient cloner secrètement le porte-clés d'une Tesla Model S et voler la voiture en quelques secondes, et ceci avec seulement 600 dollars d’équipement technique.

Le rapport des chercheurs montre qu’un pirate informatique pouvait cloner le signal de déverrouillage et utiliser ce signal cloné pour déverrouiller le véhicule ciblé et démarrer le moteur à l’insu du propriétaire. Selon les chercheurs, le clonage ne prenait que quelques secondes, ensuite le pirate pouvait disposer de la voiture et disparaître sans laisser de traces.

Les chercheurs ont déclaré qu’ils n’ont eu besoin que d’un équipement technique pour 600 dollars composé de matériel informatique et de radio : un ordinateur Raspberry Pi, une radio Yard Stick One, une radio Proxima, un disque dur externe et des piles. Ce matériel et quelques secondes ont suffi aux chercheurs pour usurper l'identité du porte-clés d’une Tesla Model S.

Selon le rapport, pour déjouer le chiffrement utilisé dans le porte-clés sans fil de la Tesla Model S, les chercheurs ont procédé par un calcul qui a permis de découvrir la clé cryptographique du porte-clés.

La procédure a consisté en quelques étapes après la constitution d’une base de données de l’ensemble de toutes clés potentielles, au total six téraoctets de clés pré-calculées contenues dans un tableau et sauvegardée sur disque dur.

La vidéo montrant la méthodologie de piratage d'une Tesla Model S

Selon le rapport, la première étape a consisté à copier le signal de verrouillage qui émet en permanence à partir de la Tesla Model S à pirater. En utilisant la radio et le signal copié précédemment depuis le système de verrouillage de la voiture concernée, le pirate devra opérer à environ trois pieds du porte-clés de la victime pour opérer en le trompant afin qu’il émette deux codes de réponse, qui sont en principe destinés à la voiture.

Le pirate exécute ensuite les signaux reçus du porte-clés sur la base de données de clés pré-calculées stockée sur le disque dur pour déterminer en quelques secondes la clé numérique de la voiture. Une fois la clé numérique de la voiture déterminée, le pirate peut disposer de la voiture sans que le propriétaire en ait la moindre idée. Le pirate peut même cloner le porte-clés à partir de la clé numérique et en créer un, lui permettant d’utiliser la voiture comme le propriétaire.

Les chercheurs ont révélé la faille de sécurité à Tesla l'été dernier et ont reçu une récompense de 10 000 dollars de la part de la société. Tesla a réagit en août en instaurant sur sa Model S deux niveaux d’authentification. La société a prévu un code PIN utilisable à l’intérieur de la voiture dans une mise à jour et a développé sur la base du rapport des chercheurs un nouveau porte-clés avec une sécurité supplémentaire. Les clients, pour être protégés d’une éventuelle exploitation de la vulnérabilité découverte par les chercheurs de l'université KU Leuven, doivent procéder à une mise à jour de leur véhicule et entrer en possession du nouveau porte-clés. Dans le cas contraire, ils seront toujours exposés aux attaques.

La correction de la vulnérabilité est intervenue après un temps de réflexion de Tesla qui a déclaré avoir besoin de temps pour vérifier l’authenticité de la faille afin d’identifier une solution. La solution de Tesla devrait techniquement arrêter ce type d’attaque. En outre, la société a ajouté une mesure de sécurité supplémentaire : la possibilité de désactiver la fonction « entrée passive », par appui physique simple sur un bouton du porte-clés pour déverrouiller la voiture.

Source : Business Insider

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Tesla enregistre un record de ventes depuis le début d'année, et dépasse Ford en termes de capitalisation boursière
Autopilot : le département US des transports renonce à poursuivre Tesla, n'ayant identifié aucun défaut dans le système de pilotage automatique
Tesla prévoit de partager le code source de son logiciel de sécurité automobile, contribuant ainsi à un avenir sûr de l'auto-conduite
Tesla rend publique une partie du code source de ses équipements, dont celui du logiciel de pilotage automatique mis en cause dans un accident
Le dénonciateur de Tesla tweete des photos pour illustrer la culpabilité du groupe d'Elon Musk, et tenter de corroborer ses affirmations

[Ryu2000]

Qu’en pensez-vous ?

Les systèmes électronique peuvent se faire hacker sans laisser de trace par conséquent les assurances refusaient de payer.
Mais ça a changé depuis le temps :
VOLS DE VOITURES SANS EFFRACTION : CERTAINS ASSUREURS COMMENCENT À VOUS COUVRIR !

Vol électronique : la justice favorable à l'assuré

Les clauses vol limitent souvent toute indemnisation quand l’auto est retrouvée sans trace d’effraction. Mais bonne nouvelle, la justice évolue en votre faveur.

L’électronique pose trop de problème, on devrait tous conduire des Dacia

===
C'est cool que les chercheurs de l'université KU Leuven aient fait part de leur découverte à Tesla.
Ils auraient pu vendre l'info à ceux qui veulent pourrir la marque. (peut être que l'étude était financé par Tesla depuis le début)

[Neckara]

Donc si je comprends bien, cela fait une clé de chiffrement d'environ 40 bits ?

40*2**40/(1000*1000*1000*1000*8) = 5,5 To.

[hotcryx]

Comme quoi python et RPI c'est du bon matos pas cher et efficace et Tesla c'est ...

[darklinux]

Sa sent l ' algorithme faiblard , la clé trop courte , pas de salage ... tous ce qui ne se fait plus depuis le milieux des années 1990 . Au prix des voitures c 'est honteux et on peux ce poser des questions légitimes sur l ' ingénierie des systèmes .

[Thorna]

Et c'est un truc à quelques dizaines de milliers d'euros. Que dire d'un frigo, d'une TV "smart", des fameux boitiers amazon et google et je-ne-sais-plus-qui qui écoutent tout en permanence, etc. ?
A quand les Tesla (et toutes les autres bagnoles avec un peu d'électronique) dans les dispositifs de DDoS ?