Des chercheurs en sécurité rapportent qu’ils ont découvert un défaut de conception qui leur a permis de détourner une Tesla à l’aide d’un Flipper Zero, d’un outil de piratage controversé à 169 $. Partenaires Tommy Mysk et Talal Haj Bakry de Mysk Inc. a déclaré que l’attaque était aussi simple que de glisser les informations de connexion d’un propriétaire Tesla, d’ouvrir l’application Tesla et de partir. La victime n’aurait aucune idée qu’elle avait perdu son véhicule de 40 000 $. Mysk a déclaré que l’exploit prenait quelques minutes et que, pour prouver que tout fonctionnait, il a volé sa propre voiture.
Le problème n’est pas un « piratage » dans le sens de s’introduire dans un logiciel, c’est une attaque d’ingénierie sociale qui trompe un utilisateur et l’oblige à céder le contrôle. Leurs informations. À l’aide d’un Flipper, les chercheurs ont mis en place un réseau WiFi appelé « Tesla Guest », le nom que Tesla utilise pour son invité. réseaux dans les centres de service. Mysk puis créé un site Web qui ressemble à la page de connexion de Tesla.
Le processus est simple. Dans ce scénario, des pirates pourraient diffuser le réseau à près d’une station de charge, où un conducteur en ennui pourrait rechercher divertissement. La victime se connecte au réseau WiFi et saisit son nom d’utilisateur et son mot de passe sur le faux site Web Tesla. Le pirate informatique utilise alors le informations d’identification pour se connecter à la vraie application Tesla, ce qui déclenche un code d’authentification à deux facteurs. La victime saisit ce code dans le faux site Web, et le voleur a accès à son compte. Une fois que vous êtes connecté à l’application Tesla, vous pouvez configurer un « téléphone » “clé » qui vous permet de déverrouiller et de contrôler la voiture via Bluetooth avec un smartphone. À partir de là, la voiture est à vous.
Vous pouvez voir la démonstration de Mysk de l’attaque dans la vidéo ci-dessous.
D’après Mysk, Tesla n’informe pas les utilisateurs lorsque de nouvelles clés sont créées, afin que la victime ne sache pas qu’elle a été compromise. Mysk a déclaré que le les méchants n’auraient pas non plus besoin de voler la voiture tout de suite, car l’application vous montre l’emplacement physique du véhicule. Le propriétaire d’une Tesla pourrait finir de recharger la voiture et repartir pour faire du shopping ou se garer devant sa maison. Localisation de la voiture à l’aide de l’application, puis montez à un moment opportun et partez.
“Cela signifie qu’avec une fuite d’e-mail et de mot de passe, un propriétaire pourrait perdre son véhicule Tesla. C’est insensé », a déclaré Tommy Mysk. et les attaques d’ingénierie sociale sont très courantes aujourd’hui, en particulier avec l’essor des technologies d’IA, et les entreprises responsables doivent prendre en compte ces risques dans leurs activités. leurs modèles de menace.
Lorsque vous achetez une Tesla, l’entreprise vous fournit une carte d’accès physique pour la voiture. Manuel du propriétaire du Tesla Model 3 dit : « La carte-clé est utilisée pour « authentifier » les clés du téléphone afin de travailler avec le modèle 3 et pour ajouter ou supprimer d’autres clés. » Cependant, lorsque Mysk a essayé cet exploit, il a semblé que ce n’était pas vrai.
🎬 With the rise of social engineering and phishing attacks thanks to #AI, Tesla fails to recognize them as a threat. We created a short demo showing the limits of what an attacker can do with the stolen credentials of a Tesla account.
SPOILER ALERT: No limits
Tesla says it's… pic.twitter.com/CTzOjvpjke
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 7, 2024
Selon Mysk, il a testé la vulnérabilité à plusieurs reprises avec sa propre Tesla. Mysk a déclaré qu’il avait utilisé un iPhone fraîchement réinitialisé qui n’avait jamais été réinitialisé. été couplé avec sa voiture auparavant, et il s’est assuré qu’il n’y avait aucun lien entre ce téléphone et sa véritable identité via l’identifiant Apple. ou adresse IP. Mysk a déclaré qu’il était capable de créer une clé de téléphone plusieurs fois sans accès à la carte-clé physique de Tesla.
Mysk a déclaré qu’il avait contacté Tesla via son programme de rapport de vulnérabilité, mais la société a répondu qu’il ne s’agissait pas d’un vrai problème. copie de l’échange avec Gizmodo. « Nous avons enquêté et déterminé que c’est le comportement prévu », a déclaré Tesla dans l’e-mail. La section « Clé de téléphone » de la page du manuel du propriétaire à laquelle vous avez lié ne fait aucune mention de la nécessité d’une carte d’accès pour ajouter un clé de téléphone.
Tesla, qui ignore généralement les questions des médias, n’a pas immédiatement répondu à une demande de commentaires.
“La confirmation de l’équipe de sécurité des produits de Tesla selon laquelle c’est le ‘comportement prévu’est absurde”, a déclaré Mysk. est clairement rendu très facile au détriment de la sécurité.
Selon Mysk, il semble que la carte-clé physique soit uniquement nécessaire pour « authentifier » la clé du téléphone en tant que mécanisme de sécurité. Lors des tests de Mysk, il a pu configurer la clé du téléphone lorsqu’il se tenait à proximité ou était assis dans la voiture. Si la voiture était trop loin, le processus de configuration échouait et l’application demandait la carte-clé physique. Mais tant qu’il était à proximité, Mysk a déclaré qu’il était capable d’ajouter une nouvelle clé de téléphone sans la carte-clé.
“Avec la conception actuelle de Tesla, si un attaquant possède le nom d’utilisateur et le mot de passe de la victime, il peut repartir avec le véhicule de la victime”, a déclaré Mysk. . “Si une victime est trompée pour révéler ses informations d’identification, elle ne devrait pas tout perdre. Elle ne devrait pas perdre sa voiture. »
Le Flipper Zéro est un appareil controversé conçu pour les amateurs, les pirates informatiques et les personnes qui souhaitent les arrêter. C’est comme un couteau de l’armée suisse numérique, avec un variété de fonctionnalités de connectivité sans fil qui vous permettent de jouer avec (et de pénétrer dans) d’autres appareils. Récemment, le co-fondateur de Flipper a expliqué à Gizmodo tout l’intérêt de l’appareil. c’est de exposer les pratiques de sécurité de mauvaise qualité des grandes technologies. Cependant, il est à noter qu’il existe une grande variété d’autres appareils peu coûteux qui vous permettraient d’exploiter cette vulnérabilité de Tesla dans le exactement de la même manière.
Il ne serait pas difficile pour Tesla de résoudre ce problème. Mysk a déclaré que l’entreprise devrait rendre l’authentification par carte-clé obligatoire avant d’ajouter un téléphone. clés, et Tesla devrait informer les utilisateurs lorsque de nouvelles clés sont créées. Mais sans action de la part de l’entreprise, les propriétaires de Tesla pourraient être des cibles faciles.
Parfois, une interface informatique élégante et sophistiquée véhicule une illusion de sécurité, mais le plus souvent, les couches supplémentaires de complexité nous rendent plus vulnérable. il y 20 ans, les voleurs de voitures avaient essentiellement deux choix : se procurer le porte-clés du conducteur, ou filer le véhicule . Mais lorsque votre clé de voiture est un groupe de uns et de zéros, les choses peuvent devenir compliquées.
