Tesla
Si le déverrouillage des véhicules avec des applications pour smartphone plutôt qu’avec des clés physiques offre des avantages considérables en termes de commodité, il élargit également considérablement la surface d’attaque.
Des chercheurs en sécurité ont découvert une méthode qui utilise un appareil Flipper Zero à 169 $ pour inciter les propriétaires de Tesla à céder le contrôle de leur voiture à un tiers malveillant, permettant ainsi au véhicule d’être déverrouillé et même de repartir.
Aussi : 7 outils de piratage qui semblent inoffensifs mais qui peuvent causer de réels dégâts
Les chercheurs Tommy Mysk et Talal Haj Bakry de Musk Inc. ont conçu une méthode pour tromper un propriétaire de Tesla et l’amener à lui fournir les identifiants de connexion de son véhicule : un attaquant utiliserait le Flipper Zéro et un Carte de développement Wi-Fi pour diffuser une fausse page de connexion au réseau Wi-Fi invité Tesla — “Tesla Guest” est le nom donné aux réseaux Wi-Fi dans les centres de service — puis utiliser ces informations d’identification pour vous connecter au compte du propriétaire et créer de nouvelles “clés” virtuelles à la voiture.
Tout ce que le propriétaire saisit sur la fausse page de connexion (nom d’utilisateur, mot de passe et code d’authentification à deux facteurs) est capturé et affiché sur le Flipper Zero.
Voici une présentation pas à pas du processus.
Cette attaque contourne également l’authentification à deux facteurs, car la fausse page de connexion au réseau Wi-Fi invité Tesla demande le code d’authentification à deux facteurs que l’attaquant utilise ensuite pour accéder au compte. Cela signifie que le pirate informatique doit travailler rapidement et être capable de demander puis d’utiliser rapidement ce code pour pouvoir accéder au compte.
La carte-clé physique que Tesla vous a fournie vous protégera-t-elle de cette attaque ? Selon le manuel d’utilisation, cela devrait être le cas, car cette “carte-clé est utilisée pour” authentifier “les clés du téléphone afin de fonctionner avec le modèle 3 et pour ajouter ou supprimer d’autres clés”. Mais selon Mysk, ce n’est pas le cas.
Aussi : Les meilleurs VPN mobiles : testés par des experts
Mysk a déclaré avoir contacté Tesla pour commenter cette vulnérabilité et on lui a dit que la société avait « enquêté et déterminé que c’était le comportement prévu », ce qui est inquiétant.
Mysk recommande que Tesla rende obligatoire l’utilisation de la carte-clé pour créer de nouvelles clés dans l’application, et que les propriétaires soient informés lorsque de nouvelles clés sont créées.
Bien que Mysk et Bakry utilisent ici un Flipper Zero, il existe de nombreux autres outils qui pourraient être utilisés pour mener à bien cette attaque, comme un Ananas Wi-Fi ou Pépite Wi-Fi.
ZDNET a demandé des commentaires à Tesla et nous mettrons à jour cet article avec leur réponse.
Aussi : Cybersécurité 101 : Tout sur la façon de protéger votre vie privée et de rester en sécurité en ligne
Comment se protéger de ce type d’attaque ? Premièrement, ne paniquez pas. Il est peu probable que cette attaque soit généralisée : l’attaquant devra se trouver à proximité de votre véhicule et se connecter à votre compte Tesla en temps réel.
Deuxièmement, notez que vous n’avez pas besoin de saisir votre code d’authentification à deux facteurs pour pouvoir vous connecter au compte Wi-Fi invité de Tesla. En cas de doute, évitez le Wi-Fi gratuit.
2024-03-08 18:29:00
1709913054
#Teslas #vulnérable #piratage #Flipper #voici #comment #vous #protéger
