Une vulnérabilité récemment découverte dans l'application Tesla permet aux pirates d'accéder aux comptes Tesla à l'aide d'une simple attaque de phishing via un Flipper Zero.
On ne dément plus le succès des véhicules électriques Tesla. Mais la rançon du succès peut être douloureuse pour ses propriétaires au profit des hackers. Deux chercheurs en sécurité ont récemment démontré qu'une simple attaque de phishing pouvait permettre de voler des comptes Tesla, de déverrouiller et de démarrer les voitures à partir d'un Flipper Zero, via une attaque de phishing selon le principe Man-in-the-Middle.
Cette faille de sécurité, bien que non reconnue comme telle par Tesla, représente un réel danger pour les utilisateurs.
Aussi simple que redoutable
Pour leurs recherches, Bakry et Mysk ont utilisé un Flipper Zero, que le Canada a interdit en raison du risque de vols de véhicules, mais ils précisent que l'attaque peut être menée à partir d'un ordinateur, d'un téléphone Android ou d'un Raspberry Pi. Ils ont publié leur procédé dans la vidéo que vous pouvez voir ci-dessous.
Selon Talal Haj Bakry et Tommy Mysk, deux chercheurs en sécurité qui ont partagé leurs découvertes avec Tesla, la vulnérabilité de sécurité réside dans le processus d'association d'un nouveau smartphone à une voiture. Ils ont réussi à mettre en place un réseau Wi-Fi trompeur et à persuader les propriétaires de Tesla de se connecter à une page de connexion factice. Une fois qu'ils ont obtenu l'accès au compte, ils peuvent localiser la voiture en temps réel et, s'ils sont à proximité, générer une nouvelle clé numérique (Phone Key). Cela leur donne la possibilité de déverrouiller la voiture via Bluetooth et de la conduire.
Les pirates ont souligné que le propriétaire ne reçoit aucune alerte indiquant qu'une nouvelle Phone Key a été générée, et qu'ils ont pu mener à bien toute la procédure sans que la voiture soit déverrouillée ou que le smartphone soit présent dans le véhicule. Ils suggèrent que l'intégration de la carte-clé physique de Tesla dans le processus d'enregistrement pourrait renforcer la sécurité.
Une faille connue de Tesla
Selon les chercheurs, la possession obligatoire d'une clé de carte Tesla physique lors de l'ajout d'une nouvelle clé de téléphone pourrait renforcer la sécurité en introduisant une étape d'authentification supplémentaire pour le nouveau téléphone.
Dans leur rapport à Tesla, Tommy Mysk et Talal Haj Bakry ont expliqué qu'ils ont pu ajouter une seconde clé de téléphone à un nouvel iPhone sans que l'application Tesla ne leur demande d'utiliser une carte-clé pour authentifier la session sur le nouvel iPhone. Ils ont simplement dû se connecter sur le nouvel iPhone avec leur nom d'utilisateur et leur mot de passe, et dès qu'ils ont donné à l'application l'accès aux services de localisation, la clé du téléphone a été activée.
En réponse à cela, Tesla a déclaré que leur enquête a conclu que c'était le comportement attendu et que le manuel du propriétaire de la Tesla Model 3 ne stipule pas qu'une carte-clé est nécessaire pour ajouter une clé de téléphone.
29 novembre 2024 à 15h14
Source : Bleeping Computer