Cybellum a eu le plaisir d’interviewer David Colombo, le prodige cyber-boy de l’Allemagne, et fondateur de Colombo Technologies pour notre podcast, Laissés à nous-mêmes.
A moins de 20 ans, le prolifique cyber-chercheur a déjà à son actif l’exposition de nombreuses vulnérabilités critiques, dont l’honneur de s’être frayé un chemin dans les véhicules Tesla !
Puisque nous analysons quotidiennement les vulnérabilités des véhicules pour nos plate-forme de sécurité des produits, nous étions impatients d’en savoir plus sur la façon dont un jeune hacker a réussi à pénétrer dans les systèmes de Tesla. Nous expliquerons comment il a fait cela un peu plus tard.
Bien sûr, David, étant un hacker éthique, essaie de rendre le monde meilleur en partageant immédiatement ses découvertes avec le monde, permettant à la communauté des chercheurs en sécurité de résoudre les problèmes de cybersécurité avant que de véritables violations ne se produisent.
Alors, comment tout a commencé ?
Étude rapide en cyber
David n’était qu’un enfant lorsqu’il s’est intéressé à l’informatique. Recevant son premier ordinateur portable le jour de ses 10 ans, il a tout de suite été captivé par son fonctionnement et surtout, bien sûr, par Internet. Maîtrisant rapidement les bases de l’informatique et des réseaux, David a commencé son parcours dans le développement de logiciels. En examinant son propre code, il s’est soudain rendu compte qu’il existait des vulnérabilités qui pourraient permettre à un étranger d’exécuter du code sur son propre ordinateur portable à son insu.
Ce fut le moment eureka qui a déclenché sa passion pour la recherche sur les vulnérabilités des applications, des systèmes d’exploitation et des appareils.
Au moment où il est entré dans l’adolescence, David avait déjà compris comment protéger les entreprises, les hôpitaux et les autres utilisateurs et réseaux informatiques. Il a trouvé cette activité beaucoup plus excitante que de passer du temps en classe.
En 10e année, il a trouvé un mentor de la Chambre de commerce allemande qui a réussi à obtenir de son école qu’il l’autorise à ne se présenter qu’un ou deux jours par semaine, lui permettant de consacrer le reste de son temps à développer son informatique. et les cyber-compétences.
À l’âge de 16 ans, David a lancé sa propre entreprise de cybersécurité. Mais étant trop jeune pour s’engager légalement dans le commerce, son père a dû signer les contrats de consultation en son nom. À 18 ans, David est finalement devenu légalement capable de mener seul une cyberentreprise.
Tu Tesla, Mi Tesla
Alors, comment David Colombo, à l’âge de 19 ans, a-t-il piraté des voitures Tesla ultra-high-tech ?
Avant de décrire le processus, David nous assure que puisqu’il est dans le domaine du piratage éthique, tout ce qu’il nous dit est désormais public et ne compromettra en aucune façon les voitures Tesla ou leurs propriétaires. Alors, voici l’histoire.
L’année dernière, David commençait à effectuer un audit de sécurité pour une entreprise française. Il a jeté un coup d’œil au code qui constituait un enregistreur de données utilisé par Tesla. L’enregistreur de données indique où la Tesla a été conduite, à quelle vitesse et d’autres statistiques d’utilisation. Mais à sa grande surprise, David a pu facilement découvrir où le PDG de la société française conduisait sa propre Tesla, ainsi que d’autres informations privées.
En tant que fan de Tesla, il a commencé à lire le code source de GitHub qui est entré dans d’autres composants Tesla.
Ach du lieber ! Il a découvert que les logiciels open source stockaient les clés de voiture numériques d’une manière facilement accessible de l’extérieur. Et pas crypté du tout. David pouvait facilement obtenir les clés numériques de n’importe quelle voiture.
Que pouvait-il faire avec ces clés ? Désactivez simplement à distance le mode de sécurité de la voiture, déverrouillez les portes, klaxonnez – de « petites » choses comme ça. Si l’ouvre-porte de garage du propriétaire était connecté à la voiture, David pourrait également ouvrir la porte du garage – en Finlande, en Suisse, n’importe où – le tout depuis son ordinateur portable en Allemagne !
Était-ce un coup de chance ? Y avait-il plus d’une ou deux voitures impliquées ? David a rapidement lancé une recherche sur Internet. Néin. David a facilement trouvé plus de 20 voitures qu’il pouvait percer.
Immédiatement, il a contacté Tesla par e-mail et a signalé la vulnérabilité alarmante.
Comment Tesla a-t-il réagi ? Tout de suite. Mais David n’a reçu qu’une réponse sèche : « Nous enquêtons. Cependant, le lendemain, le OMG! e-mail est venu. « Nous avons bien examiné ce que vous avez trouvé et nous révoquons immédiatement les jetons d’accès et en informons les propriétaires. Merci beaucoup de nous l’avoir fait savoir ! »
Informations sur la sécurité
Le jeune âge de David ne rend pas justice à sa grande accumulation de connaissances et d’expérience en matière de cyber. Aujourd’hui, son expertise en conseil est très recherchée. Il partage avec nous certaines des idées qu’il a recueillies.
- La pénurie de personnel et d’expertise en cybersécurité est criante. Les industries automobile, médicale et autres ont besoin de beaucoup de personnes dévouées et passionnées par la cybersécurité.
- Même les vulnérabilités « anciennes » continuent d’affecter les opérations sécurisées des machines modernes et connectées. Par exemple, bon nombre des équipements médicaux les plus récents sont basés sur Windows XP et sont vulnérables aux mêmes failles de sécurité qui affectent les systèmes XP depuis des décennies.
- Plus important encore, dit David : « N’abandonnez pas. Reste concentrée. En tant que professionnel de la cybersécurité, vous aurez un impact important sur la sécurité, les industries et la société. »
L’avenir
Il ne fait aucun doute que David est un immense talent, et nous sommes tous très chanceux qu’il soit du bon côté du piratage. Mais son histoire met en lumière l’état de la sécurité des produits automobiles : il est plus facile que nous ne le pensions de violer la sécurité de nombreuses voitures intelligentes avancées d’aujourd’hui.
Tesla, contrairement à d’autres constructeurs automobiles, a construit son produit sur un logiciel et devrait mettre en place les contrôles de cybersécurité pour gérer la base de code développée en interne. Pour chaque Tesla, il existe des milliers d’autres appareils et véhicules qui sont relativement nouveaux dans le jeu de la cybersécurité et qui ont encore du mal à sécuriser leur chaîne d’approvisionnement en logiciels contre les joueurs malveillants. Cela rend la plupart des véhicules beaucoup plus faciles à exploiter, même sans l’expertise de David.
Chez Cybellum, notre mission est d’équiper les équipes de sécurité des produits d’une puissante plate-forme de sécurité des produits qui s’attaque aux cybermenaces nouvelles et émergentes, afin d’éviter cela.
Vous pouvez écouter cet épisode et d’autres épisodes de Left to Our Own Devices sur https://cybellum.com/podcasts/
Pour en savoir plus sur la façon dont Cybellum aide à protéger les véhicules et autres appareils, visitez Cybellum.com.
Sponsorisé par Cybellum