LEBIGDATA.FR I.A, Cloud & Cybersécurité
En hackant une Tesla Model 3 en moins de 10 minutes, les prouesses de ce hacker ont fait le tour du net. Comment a-t-il réussi ce tour de force et quel impact cette attaque aura-t-elle sur ce constructeur de voiture électronique ?
Tesla Model 3 : un hack mené dans le cadre d'un concours
Puisque les menaces évoluent constamment, l'industrie de la cybersécurité multiplie les innovations pour mieux défendre les systèmes informatiques. Basé sur le même principe que les programmes de bug bounty, le concours Pwn2Own lance un défi aux chercheurs en cybersécurité : trouver les failles de sécurité sur des produits sélectionnés au préalable.
Pirater une @Tesla model 3 en 2 minutes et repartir avec, l'exploit de @elvanderb et David Berard de @Synacktiv
— BFM Business (@bfmbusiness) April 5, 2023
🗨️"Le concours est annoncé environ 3 mois avant l'événement. Et on va avoir la liste des cibles qui font partie de l'événement notamment la Tesla"
🎙️ David Berard pic.twitter.com/WwmVryfjII
L'histoire de Pwn2Own commence en 2007 lorsque le chercheur Dragos Ruiu s'insurge contre une publicité d'Apple affirmant que les ordinateurs Mac ne peuvent pas être piratés. Il organise donc une conférence autour de la cybersécurité durant laquelle il défiait chercheurs et hackers black hat de trouver des bugs sur deux MacBook Pro qu'il a achetés.
Le gagnant repartira avec l'ordinateur. Depuis, Dragos Ruiu a réédité l'événement deux fois par an, attirant de plus en plus de chercheurs et d'entreprises de renom. Zero Day Initiative (ZDI), un programme de Trend Micro qui achète des attaques zero-day, a participé aux conférences depuis la première édition. Pour l'édition 2023, les chercheurs français de chez Synacktiv ont fait sensation en hackant une Tesla Model 3 en moins de 10 minutes.
Les français remportent l'édition 2023 de Pwn2Own
Grâce à six exploits réussis, les Français ont remporté un peu plus de la moitié des gains mis en jeu cette année Ils ont obtenu un total de 53 points et 530 000 $ de gain, incluant la Tesla Model 3 qu'ils ont hackée.
« La plus grande vulnérabilité démontrée cette année était sans aucun doute l'exploit de Tesla. Ils sont passés de ce qui est essentiellement un composant externe, le chipset Bluetooth, à des systèmes au plus profond du véhicule », affirme Dustin Childs, un des membres de l'équipe organisatrice.
Les français, des chercheurs de la société de cybersécurité Synacktiv, ont en effet pu pirater une Tesla Model 3 en moins de 10 minutes. Ils ont notamment pu accéder à des sous-systèmes qui contrôlent la sécurité du véhicule et d'autres composants. L'un des exploits consistait à exécuter une attaque dite TOCTTOU (time-of-check-to-time-of-use) sur le système de gestion de l'énergie Gateway de Tesla.
Les chercheurs de Synacktiv ont également réussi à pénétrer dans le système d'infodivertissement de Tesla. Ceci, en exploitant une vulnérabilité de débordement de tas et une erreur d'écriture hors limites dans un chipset Bluetooth. Ce faisant, ils ont pu obtenir un accès root à d'autres sous-systèmes. Les organisateurs et Tesla ont validé les conclusions de l'équipe française et reconnaissent le haut niveau de sophistication du piratage. Les correctifs arrivent bientôt.
- Partager l'article :
