Un chercheur en sécurité a déclaré qu’il était en mesure d’accéder à distance à des dizaines de Teslas dans le monde parce que des bogues de sécurité trouvés dans un outil de journalisation open source populaire auprès des propriétaires de Tesla exposaient leurs voitures directement à Internet.
La nouvelle de la vulnérabilité a été révélée pour la première fois au début du mois dans un tweet par David Colombo, un chercheur en sécurité en Allemagne, qui a déclaré qu’il avait un « contrôle à distance complet » de plus de 25 Teslas, mais avait du mal à divulguer le problème aux propriétaires de Tesla concernés sans rendre les détails publics et alerter également les pirates malveillants.
Le bogue est maintenant corrigé, a confirmé Colombo. TechCrunch a gardé cette histoire jusqu’à ce que la vulnérabilité ne puisse plus être exploitée. Colombo a publié ses découvertes dans un article de blog.
Colombo a déclaré à TechCrunch que les vulnérabilités ont été trouvées dans TeslaMate, un logiciel de journalisation gratuit à télécharger utilisé par les propriétaires de Tesla pour se connecter à leurs véhicules et accéder aux données autrement cachées de leurs voitures – la consommation d’énergie de leur voiture, l’historique de localisation, les statistiques de conduite et d’autres informations granulaires. données pour le dépannage et le diagnostic des problèmes. TeslaMate est un tableau de bord Web auto-hébergé fonctionnant souvent sur les ordinateurs personnels des amateurs de Tesla, et s’appuie sur l’accès à l’API de Tesla pour exploiter les données de leur voiture, qui sont liées au compte du propriétaire de la voiture.
Mais des failles de sécurité dans le tableau de bord Web – comme autoriser l’accès anonyme et utiliser des mots de passe par défaut que certains utilisateurs n’ont jamais changés – associées à des erreurs de configuration par certains propriétaires de Tesla, ont entraîné l’exposition d’au moins une centaine de tableaux de bord TeslaMate directement sur Internet, y compris l’API du propriétaire de la voiture. clé utilisée pour contrôler à distance leurs Teslas.
Lors d’un appel avec TechCrunch, Colombo a déclaré que le nombre de Teslas impactés est probablement plus élevé.
Colombo a déclaré avoir découvert que les tableaux de bord TeslaMate n’étaient pas protégés par défaut après être tombé sur un tableau de bord exposé l’année dernière. Après avoir scanné Internet pour des tableaux de bord plus ouverts, il a trouvé des Teslas exposés au Royaume-Uni, en Europe, au Canada, en Chine et à travers les États-Unis.
Mais contacter les propriétaires individuels de Tesla avec des tableaux de bord exposés serait une tâche herculéenne, a expliqué Colombo, et dans de nombreux cas, il n’est pas possible de discerner avec précision un moyen de contacter les clients Tesla concernés.
Pire encore, il était possible d’extraire la clé API des utilisateurs Tesla du tableau de bord exposé, permettant à un pirate informatique malveillant de conserver un accès à long terme à Teslas à l’insu des conducteurs. (Une API permet à deux choses de se parler sur Internet – dans ce cas, une voiture Tesla et les serveurs de l’entreprise, l’application Tesla ou un tableau de bord TeslaMate.) L’accès à l’API de Tesla est limité aux propriétaires de Tesla via une clé API privée associé au compte du propriétaire.
Avec l’accès à une clé API exposée, Colombo a déclaré qu’il pouvait accéder à distance à certaines fonctionnalités de la voiture, telles que déverrouiller les portes et les fenêtres, klaxonner et démarrer la conduite sans clé, ce qu’il a vérifié auprès d’un propriétaire de Tesla en Irlande. Il pourrait également accéder aux données à l’intérieur, telles que les données de localisation de la voiture, les itinéraires de conduite récents et l’endroit où elle est garée. Colombo a déclaré qu’il ne croyait pas qu’il soit possible d’utiliser l’accès API pour déplacer le véhicule à distance via Internet.
Colombo a déclaré que même si les problèmes de sécurité n’étaient pas dans l’infrastructure de Tesla, Tesla pourrait faire plus pour améliorer sa sécurité, comme révoquer la clé API d’un client lorsque son mot de passe est changé, une pratique standard de l’industrie.
Après avoir signalé les vulnérabilités en privé, TeslaMate a mis en place un correctif logiciel que les utilisateurs doivent installer manuellement pour empêcher l’accès. Le responsable du projet TeslaMate, Adrian Kumpf, a déclaré à TechCrunch que la mise à jour avait été publiée quelques heures après avoir reçu l’e-mail de Colombo. Dans un e-mail, Kumpf a déclaré que, comme le logiciel est auto-hébergé, il ne peut pas protéger les utilisateurs contre l’exposition accidentelle de leurs systèmes à Internet, ajoutant que la documentation de TeslaMate avertit depuis longtemps les utilisateurs d’installer le logiciel « sur votre réseau domestique, sinon vos jetons d’API Tesla pourraient être à risque. Kumpf a également déclaré que les utilisateurs qui ont choisi l’option d’installation avancée ne devraient pas être affectés.
Colombo a déclaré à TechCrunch que Tesla avait révoqué des milliers de clés API de pilotes, indiquant potentiellement que le problème était peut-être plus répandu qu’on ne le pensait initialement. Tesla n’a pas répondu aux demandes de commentaires avant la publication. (Tesla a supprimé son équipe de relations publiques en 2020.)
Lire la suite: