Malgré des normes de sécurité élevées, Tesla a été exposé à de nombreux problèmes pour protéger ses voitures. Il existe plusieurs situations connues qui révèlent que ces véhicules peuvent être compromis et ouverts par des attaquants.
Une nouvelle situation a été révélée, montrant encore une autre vulnérabilité. Ces voitures électriques peuvent être ouvertes à distance et volées de manière simple, avec seulement 2 attaquants stratégiquement placés.
Une autre attaque qui vous permet de voler une voiture électrique
Cette nouvelle vulnérabilité a été découverte par Josep Pi Rodriguez, le consultant principal en sécurité d’IOActive. Cela implique ce qu’on appelle une attaque de relais NFC et nécessite que deux voleurs travaillent ensemble pour réussir.
Pour que l’attaque ait lieu, un voleur doit être proche de la voiture Tesla et l’autre proche du propriétaire de la voiture. Ce dernier devra avoir sur lui une carte-clé NFC ou un smartphone avec une clé virtuelle Tesla en poche.
Dans le scénario décrit, les attaquants peuvent voler une Tesla Model Y tant qu’ils peuvent se trouver à quelques centimètres de la carte NFC ou du smartphone du propriétaire avec une clé virtuelle Tesla. Il s’agit d’un scénario simple pour amener le propriétaire de la voiture cible à comprendre la situation.
Un problème simple à reproduire au quotidien
Le premier pirate utilise un appareil pour initier la communication avec le lecteur NFC sur la porte. La voiture répond par un défi auquel la carte NFC du propriétaire doit répondre. Dans le scénario décrit, l’appareil transmet le défi via Wi-Fi ou Bluetooth au complice, qui le place à côté de la carte-clé. La réponse de la carte-clé est transmise à la voiture, authentifiant le voleur dans le véhicule.
Alors que l’attaque via Wi-Fi et Bluetooth limite la distance entre les deux complices, Rodriguez affirme qu’il est possible de mener l’attaque via Bluetooth à plusieurs mètres de distance voire plus loin avec le Wi-Fi, en relayant le signal. On pense qu’il peut également être possible de mener l’attaque sur Internet, permettant une distance encore plus grande entre les complices.
Jusqu’à récemment, les conducteurs qui utilisaient la carte NFC pour déverrouiller leur Tesla devaient mettre la carte NFC dans la console pour démarrer. Une mise à jour logicielle l’année dernière a éliminé cette étape supplémentaire, et maintenant, il est possible d’utiliser la voiture avec seulement les freins dans les deux minutes suivant le déverrouillage de la Tesla.
Une situation compliquée à résoudre pour Tesla
L’attaque décrite peut être évitée si les propriétaires de Tesla activent la fonction PIN-to-drive sur leur voiture électrique. Cela nécessite un code PIN avant de pouvoir démarrer la voiture. Cependant, comme d’habitude, la plupart des conducteurs ne devraient pas activer cette fonction de sécurité. Et même avec cette option activée, les voleurs peuvent toujours déverrouiller la voiture pour voler des objets de valeur.
Il y a cependant un problème avec cette attaque. Lorsque les voleurs éteignent le moteur de la Tesla, ils ne pourront pas redémarrer la voiture avec la carte-clé NFC d’origine. Ils peuvent ajouter une nouvelle carte-clé NFC au véhicule, mais cela nécessite une deuxième attaque de relais pour ajouter la nouvelle clé.
Résoudre ce problème pour Tesla n’est peut-être pas simple, du moins sans changer le matériel de la voiture électrique, en particulier le lecteur NFC et le logiciel. Cependant, ils peuvent mettre en œuvre des alternatives pour l’atténuer, comme réduire le temps nécessaire à la carte NFC pour répondre au lecteur NFC de la voiture.
Envie de vous détendre un peu ? Voici un reportage sur l’intelligence artificielle :
