Les magnifiques berlines et roadsters du constructeur américain Tesla permettent aux personnes relativement fortunées de rouler sans émission de carbone. Malheureusement, elles ne les mettent pas l’abri des pirates informatiques, comme vient de le montrer Nitesh Dhanjani, un chercheur en cybersécurité. Dans un article, il liste tout un ensemble de vulnérabilités liées au système d’information de ces voitures.
La plus grosse faille de sécurité est le mot de passe qui n’est que de six caractères et qui permet au propriétaire d’une Tesla de se connecter à son compte en ligne sur www.teslamotors.com. Le même mot de passe sert également pour l’appli iPhone de Tesla, qui offre tout un ensemble de fonctionnalités particulièrement intéressantes, comme le verrouillage/déverrouillage de la voiture, l’ouverture/fermeture du toit ouvrant ou la géolocalisation du véhicule. Et tout cela, à distance, évidemment.
Selon M. Dhanjani, il serait possible de casser le mot de passe par force brute directement sur le site web, car ce dernier ne disposerait d’aucune protection particulière (blocage de la page login après un certain nombre d’essais infructueux, par exemple). D’autres techniques permettraient également de récupérer le mot de passe sans trop de difficulté, comme le phishing, les malwares. « C’est un point important. Une voiture qui vaut 100.000 dollars ne devrait pas s’appuyer sur un mot de passe statique de six caractères », souligne-t-il auprès de Reuters.
Le piège des applis tierces
Les applis tierces constituent un autre vecteur d’attaque. Certains éditeurs utilisent d’ores et déjà l’interface de programmation de Tesla pour accéder à certaines fonctionnalités. C’est le cas, notamment, de Google qui a développé une appli Tesla pour Glass. Dans ce cas précis, l’expert révèle que l’utilisateur envoie son login et son mot de passe à Google, plutôt qu’à Tesla. Il y a donc un risque qu’un éditeur tiers mal intentionné puisse intercepter ces données sensibles.
L’ingénierie sociale peut également se révéler intéressante. En effet, le service après-vente de Tesla a la capacité de déverrouiller les voitures à distance, pour aider un client. « Il n’est pas clair quelles procédures Tesla a mis en place pour vérifier l’identité d’un propriétaire », souligne l’expert. Enfin, l’expert pointe sur le réseau informatique interne de la voiture, dont la configuration ne semble pas des plus sécurisées. Il subodore, là aussi, un certain nombre de vulnérabilités potentielles. Voilà de quoi donner du grain à moudre aux hackers…
Source :
Le blog de Nitesh Dhanjani
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.