Tesla risque de l’avoir un peu mauvaise. Des chercheurs en sécurité informatique ont effectivement découvert une faille critique, une faille grâce à laquelle ils ont pu voler une voiture de la marque en s’appuyant sur une simple application mobile. Le pire reste à venir, car ils sont même parvenus à repartir avec un véhicule sans se faire remarquer.
Ces chercheurs en sécurité travaillent pour une société du nom de Promon. Si cette dernière se passionne pour tout ce qui a trait à la sécurité informatique, elle a choisi de focaliser son activité sur le mobile.
Elle fournit différents services aux entreprises pour les aider à sécuriser leur application et elle leur propose notamment un SDK entièrement dédié à la chose.
Ils ont utilisé une faille présente dans l’application pour voler une Tesla
Accessoirement, il lui arrive aussi de tester les applications mobiles populaires afin de tenter de déceler d’éventuelles failles.
Elle a récemment demandé à ses ingénieurs de concentrer ses efforts sur une application développée par Tesla, une application permettant aux propriétaires d’un véhicule de la marque de le localiser plus facilement, mais aussi de vérifier si ses portes sont bien fermées.
La pêche a visiblement été bonne, car ces derniers ont détecté une vulnérabilité critique au sein de l’outil, une vulnérabilité qui leur a donc permis de voler une Model S sans être inquiétés.
Pour parvenir à leurs fins, ces experts ont commencé par créer un point d’accès Wi-Fi piégé à proximité d’un fast-food et ils ont ensuite incité les clients fréquentant l’établissement à télécharger une application en échange d’un hamburger gratuit.
Mais voilà, l’application en question n’était pas si anodine qu’ils le pensaient. Une fois installée sur un terminal, elle était effectivement capable de récupérer les identifiants des propriétaires d’une Tesla en attaquant l’application évoquée un peu plus haut.
Personne ne s’est rendu compte de rien
De les récupérer, mais également de les transmettre, le tout à l’insu de l’utilisateur.
Grâce à ce système, nos experts ont pu récupérer les accès d’un compte et localiser dans la foulée sa Model S. Ensuite, ils ont tout simplement lancé l’application de Tesla pour déverrouiller les portes et activer le démarrage sans clé à l’aide de ces fameuses données volées. L’opération a été un véritable succès et personne ne s’est rendu compte de rien.
Fort heureusement pour Tesla et pour toutes les personnes possédant un véhicule de la marque, ces hackers se trouvent du “bon” côté de la barrière et ils ont donc fait remonter l’information au constructeur afin qu’il puisse combler la faille présente dans son application.
Reste que cette histoire prouve une fois de plus que le tout connecté n’a pas que du bon, bien au contraire.
