Des chercheurs ont trouvé un moyen de pirater le système d’infodivertissement des voitures Tesla et d’activer les fonctionnalités payantes. Ce qui pose de nombreuses questions.
Les résultats de chercheurs tentant de pirater des Tesla vont sans doute donner des sueurs froides à Elon Musk. Un groupe d’étudiants de la TU Berlin (université de technologie de Berlin) assisté par un chercheur indépendant en sécurité, à trouvé un moyen de pirater le système d’info-divertissement basé sur AMD de Tesla.
Une découverte qui donne accès à de nombreux éléments que Tesla souhaite garder sous contrôle. Ainsi, cela permet de déverrouiller les fonctionnalités payantes du véhicule. Cela aurait comme conséquence de “faire tourner n’importe quel logiciel sur le système d’info-divertissement”, selon les chercheurs qui ont réalisé cette découverte.
À lire aussi – Tesla va proposer un SSD externe de 1 To, pour la modique somme de 350 dollars
De quoi permette de délivrer de nombreuses fonctionnalités normalement payantes. L’on évoque ainsi le boost, l’accélération supplémentaires sur les modèles de grande autonomie. La conduite entièrement autonome, FSD, serait même concernée. Une nouvelle qui ne ravira certainement par la marque dirigée par Elon Musk.
Une attaque matérielle impatchable ?
Cette découverte est d’autant plus déstabilisante que les étudiants et le chercheur l’ayant réalisée évoquent une impossibilité de la patcher. Elle interviendrait à une couche si basse du système, que les membres de Tesla ne pourraient corriger une faille si profonde avec une simple mise à jour logicielle.
Cette attaque peut aussi être réalisée de manière très simple, selon ceux qui l’ont découverte. Christian Werling, étudiant diplômé, estime ainsi qu’elle peut être effectuée par quelqu’un ayant une faible expérience en électronique et 100 dollars en poche. Un budget loin d’être important, qui permet d’activer des fonctionnalités payantes sans doute bien plus chères.
Pirater sa Tesla : mode d’emploi
Pour réussir cette procédure, l’équipe de recherche a extrait la clé RSA spécifique au véhicule. Pour cela, ils ont utilisé une attaque par injection de défaut de tension contre le module fTPM du processeur AMD. Cette clé permet de transférer l’identité d’un véhicule et de contourner les restrictions en place.
Les chercheurs pouvaient ainsi accéder aux droits root du système d’info-divertissement, qui intègre désormais des jeux Steam. Ils obtenaient également un accès à des données utilisateur privées. Un sujet sensible sur lequel ces chercheurs s’épancheront lors de la conférence des hackers Black Hat USA 2023, le 9 août prochain, en présentant leurs travaux. Nul doute que ces derniers risquent d’intéresser beaucoup de monde.
Source – Tom’s Hardware US
