Le système d'infodivertissement Tesla Model S sert également de centre de commande au véhicule.
La semaine dernière, Marc Rogers, du réseau de diffusion de contenu CloudFlare, et le co-fondateur de Lookout Mobile Security, Kevin Mahaffey, ont achevé une intrusion numérique d'une Tesla. Mais voici les bonnes nouvelles derrière le hack Tesla Model S. Tesla a rapidement publié une mise à jour du firmware en direct, pour chaque Model S jamais fabriquée, qui résoudrait les failles de sécurité découvertes par Rogers et Mahaffey.
Le Tesla Hack
Rogers et Mahaffey ont dû démonter le tableau de bord pour accéder à un port Ethernet. À partir de là, ils ont pu se connecter directement au bus CAN, le réseau du contrôleur à travers lequel les données de la voiture sont envoyées et reçues.
Après cela, ils ont enchaîné quatre vulnérabilités distinctes, d'abord pour accéder aux systèmes d'infodivertissement, puis à l'écran tactile utilisé pour contrôler les fonctions du véhicule. Cela leur a permis de faire disparaître l'indicateur de vitesse, de modifier la suspension, de déverrouiller les portes et le coffre et de faire monter et descendre les vitres. Ils ont également pu arrêter le moteur électrique de la voiture à moins de 5 mph.
Au-dessus de cette vitesse, les écrans du tableau de bord deviendraient vierges mais la voiture passerait au point mort, donnant au conducteur le temps de trouver un endroit sûr pour arrêter la voiture. «Ironiquement, cela signifie que c'est la seule voiture qui peut se protéger contre une cyberattaque réussie», a noté Rogers.
Réponse de Tesla
«Tesla a pris un certain nombre de mesures différentes pour remédier aux effets des six vulnérabilités signalées par Lookout. Et, nous continuons à développer de nouvelles façons de durcir nos systèmes, à la lumière des discussions en cours avec la communauté de la recherche en sécurité, ainsi que de notre propre analyse interne. La mise à jour a été mise à la disposition de tous les clients Model S via une mise à jour OTA. Nous déploierons cette mise à jour sur tous les véhicules d'ici jeudi », a déclaré un porte-parole dans un communiqué envoyé par courrier électronique à Forbes.
D'autres constructeurs automobiles suivent les traces de Tesla en rendant les mises à jour Internet disponibles pour leur prochaine gamme de véhicules, mais commencent des années derrière Tesla.
Rogers et Mahaffey disent qu'ils ont également trouvé deux vulnérabilités potentielles de navigateur qu'ils ont exposées mais n'ont pas exploitées. Ces failles, résidant dans le moteur de navigation WebKit, auraient peut-être pu activer des attaques à distance, mais la nouvelle mise à jour du firmware de Tesla a également résolu ces problèmes.
Tesla CTO Toasts Hackers
Alors que Rogers et Mahaffey expliquaient leurs hacks au Def Con 23 vendredi dernier, le CTO JLA Straubel de Tesla a fait une apparition surprise pour leur offrir un toast et les remercier personnellement pour leur travail. JB a présenté au duo des «pièces de défi», que Tesla remettra à tout chercheur qui trouve une faille de sécurité sérieuse dans leurs véhicules.
Tesla a utilisé un tableau blanc à Def Con 23 Hacking Conference pour inviter des ingénieurs à rejoindre l'entreprise [Source: TheRegister]
Lors du salon, Straubel a annoncé que la société avait augmenté la récompense maximale pour avoir découvert un défaut de logiciel dans ses automobiles à 10 000 $. Cependant, pour obtenir le gros gain, un pirate doit trouver une faille d'injection de commande ou une élévation verticale des privilèges.
L'avantage compétitif de Tesla
À peu près au même moment du piratage Tesla, Fiat Chrysler a également répondu aux informations faisant état d'un piratage pouvant toucher jusqu'à 1, 4 million de véhicules Jeep. Mais contrairement à Tesla qui a effectué les réparations à distance, Fiat Chrysler a annoncé un rappel volontaire qui obligerait les propriétaires à installer un patch via une clé USB qui leur serait postée.
L'approche de Tesla pour distribuer les mises à jour des vulnérabilités et des fonctionnalités via la technologie OTA, similaire à la façon dont on met à jour le logiciel sur leur appareil mobile, lui donne clairement une longueur d'avance sur les autres constructeurs automobiles.