Une vulnérabilité dans un logiciel de journalisation utilisé par les propriétaires de voitures Tesla, associée à de mauvaises pratiques de sécurité par les mêmes propriétaires, a permis à un chercheur en cybersécurité de prendre le « contrôle total » de plus de 25 véhicules. Aucun logiciel malveillant n’était nécessaire et aucun logiciel antivirus ne serait en mesure de détecter le problème.
Dans un article de blog, le chercheur allemand David Colombo a révélé comment la vulnérabilité lui permettait de déverrouiller les portes et les fenêtres, de désactiver le mode Sentry, de klaxonner et même de démarrer la conduite sans clé.
La vulnérabilité, qui a depuis été corrigée, a été trouvée dans l’outil appelé TeslaMate. Il s’agit d’un logiciel de journalisation gratuit que les propriétaires de Tesla peuvent installer sur leurs terminaux pour accéder à des données telles que la consommation d’énergie, l’historique énergétique ou les statistiques de conduite. Il s’agit d’un tableau de bord Web auto-hébergé qui a besoin d’accéder à l’API de Tesla, où se situe le problème.
Révocation des API
Le tableau de bord permettait un accès anonyme et était fourni avec un paramètre de mot de passe par défaut que de nombreux utilisateurs n’ont pas modifié. En extrayant l’API Tesla, via le tableau de bord, Colombo a réussi à conserver son accès au véhicule, et également à accéder à des données telles que l’emplacement, les itinéraires de conduite récents ou les emplacements de stationnement.
Heureusement, le chercheur ne croit pas que le véhicule puisse être déplacé de cette façon, mais être capable de faire clignoter la lumière de la voiture pendant qu’elle roule sur l’autoroute est déjà assez dangereux.
Colombo a trouvé des voitures non protégées au Royaume-Uni, en Europe, au Canada, en Chine et aux États-Unis.
Bien qu’il ne s’agisse pas directement d’une omission de sécurité de la part de Tesla, la société pourrait prendre certaines mesures pour assurer la sécurité de ses clients, affirme le chercheur, notamment révoquer l’API lorsque le mot de passe est modifié, ce qui est une pratique standard de l’industrie.
Après avoir découvert le problème, Colombo a réussi à entrer en contact avec les créateurs de TeslaMate et à leur faire publier un correctif. Parler à Tech Crunchle mainteneur du projet TeslaMate, Adrian Kumpf, a déclaré que le correctif avait été créé « dans les heures » suivant la réception de l’avertissement de Colombo.
Pourtant, Kumpf a souligné que le logiciel est auto-hébergé et ne peut pas empêcher les utilisateurs d’exposer accidentellement leurs systèmes à Internet. TeslaMate est livré avec un avertissement indiquant que le logiciel doit être installé « sur votre réseau domestique, sinon vos jetons d’API Tesla pourraient être en danger ».
Néanmoins, le correctif doit être installé manuellement.
- Vous pouvez également consulter notre liste des meilleurs pare-feu disponible dès maintenant
Via : TechCrunch