IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une faille dans les voitures Tesla permet aux voleurs d'avoir leur propre clé et de s'emparer de la voiture


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    juin 2016
    Messages
    2 468
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 468
    Points : 47 549
    Points
    47 549
    Par défaut Une faille dans les voitures Tesla permet aux voleurs d'avoir leur propre clé et de s'emparer de la voiture
    Une faille dans les voitures Tesla permet aux voleurs d'avoir leur propre clé et de s'emparer de la voiture en seulement 130 secondes
    l'exploit tire parti du lecteur de carte NFC des voitures Tesla

    Malgré leur popularité, les voitures Tesla sont notoirement piratables, et une nouvelle vidéo montre comment un cybercriminel habile pourrait espérer s'introduire dans le système de votre voiture et la voler en un rien de temps. En exploitant une faille supposément introduite par une mise à jour publiée par Tesla l'année dernière pour faciliter le démarrage de ses voitures électriques, Martin Herfurt, chercheur autrichien en cybersécurité, est parvenu à ouvrir et à prendre le contrôle d'une Tesla en seulement 130 secondes. La fonctionnalité en cause permet d'allumer une Tesla en ouvrant simplement la porte de la voiture à l'aide d'une carte-clé de type NFC.

    Comme il l'explique dans la vidéo qui accompagne sa découverte, Herfurt pense que cette faille a été créée par Tesla elle-même. Et pour comprendre ce qu'il dit, il faut comprendre comment s'ouvre une Tesla. La carte-clé de type NFC (near-field communication) est l'une des trois possibilités de déverrouiller une Tesla, les deux autres étant le porte-clés et l'application téléphonique. Si l'application est la solution plébiscitée par la marque, elle continue d'apporter de nouvelles fonctionnalités à l'alternative de la carte NFC. Tesla explique que cette dernière a l'avantage d'être unique à chaque voiture et un gage de sécurité.

    L'année dernière, Tesla a publié une mise à jour qui facilitait le démarrage de ses véhicules après leur déverrouillage à l'aide de leur carte NFC. Une fonctionnalité anodine à première vue, mais qui s'est avérée être une véritable faille de sécurité majeure. En effet, pendant des années, les conducteurs qui utilisaient leur carte-clé pour déverrouiller leur voiture devaient placer la carte NFC sur la console centrale pour démarrer. Après la mise à jour, ils pouvaient utiliser leur voiture immédiatement après l'avoir déverrouillée avec la carte. Le déverrouillage de la porte déclenche une période de 130 secondes pendant laquelle la voiture démarre toute seule.

    Nom : unlocking-a-tesla-640x316.jpg
Affichages : 6907
Taille : 25,3 Ko

    Cela permet au conducteur d'avoir la voiture en marche dès qu'il a les fesses sur le siège. Une fois que vous avez placé la carte sur le lecteur, situé sur la porte, vous avez environ 2 minutes pour vous identifier, sinon la voiture ne démarre pas. Mais selon Herfut, ce laps de temps serait largement suffisant pour créer de nouvelles cartes et ainsi pouvoir utiliser ce biais dans le système de Tesla. Il explique que pendant les 130 secondes entre la première authentification et le nouveau verrouillage de la voiture, ce dernier accepte toutes les nouvelles cartes Tesla et les reconnaît comme authentiques alors qu'elles ne le sont pas du tout.

    « L'autorisation donnée dans l'intervalle de 130 secondes est trop générale. Ce n'est pas seulement pour la conduite. Cette minuterie a été introduite par Tesla afin de rendre plus pratique l'utilisation de la carte NFC comme moyen principal d'utiliser la voiture. Ce qui devrait se passer, c'est que la voiture peut être démarrée et conduite sans que l'utilisateur ait à utiliser la carte-clé une seconde fois. Le problème : dans la période de 130 secondes, non seulement la conduite de la voiture est autorisée, mais aussi l'[inscription] d'une nouvelle clé », a déclaré Herfurt dans une interview en ligne.

    L'application officielle de Tesla pour téléphone ne permet pas d'enregistrer des clés à moins d'être connecté au compte du propriétaire, mais malgré cela, le chercheur a constaté que le véhicule échange volontiers des messages avec tout appareil Bluetooth Low Energy (BLE) situé à proximité. Herfurt a donc créé sa propre application, baptisée "Teslakee", qui communique en "VCSec", le même langage que celui utilisé par l'application officielle Tesla pour communiquer avec ses voitures électriques. Le chercheur a ensuite utilisé l'application Teslakee pour échanger des messages en VCSec avec la voiture pour enregistrer la nouvelle clé.



    Il suffit de se trouver à portée de la voiture pendant la période cruciale de 130 secondes où elle est déverrouillée à l'aide d'une carte NFC. Si le propriétaire du véhicule utilise normalement l'application du téléphone pour déverrouiller la voiture (la méthode de déverrouillage la plus courante pour les Teslas), un attaquant pourrait forcer l'utilisation de la carte NFC en utilisant un brouilleur de signaux pour bloquer la fréquence BLE utilisée par l'application "phone-as-a-key" de Tesla. Lorsque le conducteur entre dans la voiture après l'avoir déverrouillée avec une carte NFC, le voleur commence à échanger des messages entre l'application Teslakee armée et la voiture.

    Herfurt a déclaré qu'avant même que le conducteur ne soit parti, les messages inscrivent une clé du choix du voleur dans la voiture. Dès lors, le voleur peut utiliser la clé pour déverrouiller, démarrer et éteindre la voiture. Selon le chercheur, l'écran du véhicule ou l'application Tesla légitime n'indiquent pas que quelque chose ne va pas. Herfurt a réussi à utiliser cette attaque sur une Tesla Model 3 et une Tesla Model Y. Le chercheur n'a pas testé la méthode sur les nouveaux Model S et X de 2021 et plus, mais il suppose qu'ils sont également vulnérables, car ils utilisent le même support natif pour le téléphone à clé avec BLE.

    Les propriétaires de Tesla concernés ne peuvent pas faire grand-chose contre cette attaque pour le moment. Une contre-mesure consiste à configurer Pin2Drive pour empêcher les voleurs qui utilisent cette méthode de démarrer un véhicule, mais cela n'empêchera pas le voleur de pouvoir entrer dans la voiture lorsqu'elle est verrouillée. Une autre protection consiste à vérifier régulièrement la liste des clés autorisées à déverrouiller et à démarrer la voiture grâce à un processus que Tesla appelle "whitelisting". Les propriétaires de Tesla peuvent vouloir effectuer cette vérification après avoir donné une carte NFC à un mécanicien ou à un voiturier non fiable.

    Herfurt pense que Tesla est au courant de la faille de sécurité, mais que l'entreprise n'a rien fait pour y remédier. « Mon impression était qu'ils étaient toujours déjà au courant et qu'ils ne changeraient pas vraiment les choses. Cette fois, il est impossible que Tesla ne soit pas au courant de cette mauvaise mise en œuvre. Donc pour moi, il n'y avait aucun intérêt à parler à Tesla avant », a-t-il déclaré. Tesla ne dispose pas d'un service de relation presse et n'a donc pas pu être jointe pour des commentaires sur la vulnérabilité.

    Source : L'application Teslakee

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous de la vulnérabilité découverte par Herfurt ?
    Que pensez-vous de la sécurité des voitures Tesla en général ?

    Voir aussi

    Un véhicule Tesla dont la fonctionnalité « Smart Summon » était activé s'écrase contre un jet privé de 3,5 millions de dollars

    Tesla annonce aux régulateurs que les voitures entièrement autonomes ne seront peut-être pas disponibles d'ici la fin de l'année, en contradiction avec les indications d'Elon Musk

    Un hacker de 19 ans trouve un bogue qui lui permet de contrôler plus de 25 Tesla à distance, mais la faille exploitée ne se trouverait pas dans l'infrastructure de Tesla
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    451
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 451
    Points : 1 094
    Points
    1 094
    Par défaut
    Bon sang, vu le prix des TESLA, c'est tout simplement ignoble d'avoir aussi peu de sécurité dans leur système.

  3. #3
    Membre confirmé
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    décembre 2021
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en Business Intelligence

    Informations forums :
    Inscription : décembre 2021
    Messages : 324
    Points : 489
    Points
    489
    Par défaut
    Bonjour,

    Une faille dans les voitures Tesla permet aux voleurs d'avoir leur propre clé et de s'emparer de la voiture en seulement 130 secondes l'exploit tire parti du lecteur de carte NFC des voitures Tesla

    Quel est votre avis sur le sujet ?
    Rien de nouveau sous le soleil. Cela fait penser tout simplement au mousse jacking . On en parle depuis plusieurs années déjà. Le " voleur / pirate " sait dupliquer la clé en rentrant dans la voiture ...

    Que pensez-vous de la vulnérabilité découverte par Herfurt ?
    Je dirais que cela est déjà connu sous d'autres forme et d'autres marques.

    Que pensez-vous de la sécurité des voitures Tesla en général ?
    Que se sont des passoires

  4. #4
    Membre expérimenté
    Profil pro
    programmeur du dimanche
    Inscrit en
    novembre 2003
    Messages
    384
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : novembre 2003
    Messages : 384
    Points : 1 492
    Points
    1 492
    Par défaut
    Citation Envoyé par sanderbe Voir le message
    Bonjour,
    Rien de nouveau sous le soleil.
    :
    En effet, la plupart des marques sans clé ont ce genre de problème (existence de kits électronique d'ouverture rapide et création de clé électronique) depuis au moins une dizaine d'années. Parfois il faut rester basique : les serrures mécaniques c'est une techno éprouvée... et devoir déjouer l'électronique + le mécanique ça demande 2 outillages au voleur.

    ça a l'air idiot de mettre une brosse barre d'acier épais cadenassée entre le volant et les pédales comme dans les années 80-90, mais en vrai ça résiste aux kit électroniques et ça prend du temps à scier dans une position inconfortable (et ça m'a évité un vol...)

Discussions similaires

  1. Réponses: 19
    Dernier message: 24/11/2016, 11h06
  2. Réponses: 2
    Dernier message: 03/12/2015, 09h59
  3. Nouveau serveur, problème d'accès aux boîtes mail
    Par nrenou dans le forum Lotus Notes
    Réponses: 16
    Dernier message: 02/12/2015, 18h44
  4. nouveau mac et récupération données thunderbird
    Par Independant44 dans le forum Thunderbird
    Réponses: 0
    Dernier message: 04/12/2013, 15h46
  5. Une seconde requête si la première ne donne rien
    Par Kaori dans le forum Langage SQL
    Réponses: 3
    Dernier message: 11/07/2011, 16h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo