Le SUV Tesla Model Y. – Tesla
C’est une stratégie méticuleuse. Un coup bien ficelé qui a permis à Talal Haj Bakry et Tommy Mysk de prouver l’affirmation suivante: “avec la hausse des cyberattaques menées par l’IA, Tesla ne parvient pas à les reconnaître comme telles”. Autrement dit, la dernière version du logiciel Tesla se trouve dépassée par les nouvelles technologies.
Dans une vidéo publiée sur Youtube jeudi 7 mars et repérée par le média Frandroid, les deux ingénieurs ont démontré comment subtiliser des informations de connexion pour un compte Tesla, afin de prendre le contrôle d’un véhicule de la marque américaine.
Un jeu d’enfant
Et c’est, justement, en créant un faux point d’accès WiFi à proximité d’un Superchargeur Tesla que les deux chercheurs en sécurité parviennent à pirater le logiciel du constructeur. Les utilisateurs de Tesla, pensant naïvement pouvoir se connecter au point d’accès WiFi factice, se font alors voler leurs identifiants en les renseignant dans une fausse page web aux couleurs de la marque.
Une fois les informations en leur possession, il suffit à Talal Haj Bakry et Tommy Mysk de se trouver à proximité du véhicule (dont le propriétaire a vu ses données subtilisées) pour y accéder, le déverrouiller et le démarrer. Un jeu d’enfant, même quand l’authentification multifacteur est activée. Elle peut être “facilement contournée”, indiquent les deux compères dans la vidéo.
En début d’année, une propriétaire d’un véhicule Tesla avait expliqué avoir été piratée, alors qu’elle roulait sur une voie rapide à 40km/h. La faute, a priori, à un proche de la victime qui avait récupéré les codes d’accès pour interagir avec la voiture via l’application.