Un jeune de 19 ans affirme pouvoir pirater des dizaines de véhicules. La faille de sécurité permet de déverrouiller les portes, de klaxonner et de démarrer les voitures.
Un jeune homme de 19 ans a déclaré avoir trouvé des failles dans un logiciel tiers qui semble être utilisé par un nombre relativement faible de propriétaires de voitures Tesla Inc. et qui pourrait permettre à des pirates de contrôler à distance certaines fonctions des véhicules.
David Colombo, qui se présente comme un spécialiste de la sécurité informatique, a indiqué mardi sur Twitter que ces failles lui permettaient de déverrouiller les portes et les fenêtres, de démarrer les voitures sans clé et de désactiver leurs systèmes de sécurité.
David Colombo, qui est basé en Allemagne, a également affirmé qu’il pouvait voir si un conducteur était présent dans la voiture, allumer les systèmes audio des véhicules et allumer leurs phares.
Dans une interview, il a fourni des captures d’écran et d’autres documents relatifs à ses recherches, identifiant le fabricant du logiciel et donnant des détails sur les vulnérabilités. Il a demandé à Bloomberg de ne pas publier de détails car l’organisation concernée n’a pas encore publié de correctif. David Colombo a déclaré qu’il avait pu accéder à plus de 25 Teslas dans au moins 13 pays, et il a utilisé Twitter lorsqu’il n’a pas été en mesure de contacter directement la plupart des propriétaires.
Le problème concerne la manière non sécurisée dont le logiciel stocke les informations sensibles nécessaires pour relier les voitures au programme, a expliqué David Colombo. En de mauvaises mains, ces informations pourraient être volées et réutilisées par des pirates informatiques pour envoyer des commandes malveillantes aux voitures, a-t-il ajouté. Il a montré des captures d’écran d’une conversation privée sur Twitter où l’un des propriétaires concernés lui a permis de klaxonner à distance sa voiture.
« Cela ne devrait pas se produire », a-t-il déclaré. « Surtout si nous mettons des voitures sur internet et que nous essayons de les sécuriser. Tout le monde doit travailler ensemble ».
Son fil Twitter a attiré plus de 900 retweets et plus de 6 000 likes.
Un représentant de Tesla aux États-Unis et ailleurs n’a pas répondu aux demandes de commentaires.
David Colombo, qui se décrit comme un fan de Tesla, a déclaré avoir commencé à coder à l’âge de 10 ans. Frustré par les cours du lycée, son père l’a aidé à demander aux autorités allemandes de le laisser aller à l’école deux jours par semaine et de passer le reste du temps à développer ses compétences en cybersécurité. Il a également créé une entreprise appelée Colombo Technology.
À l’instar de nombreuses entreprises technologiques, Tesla, dont le siège est aux États-Unis, dispose d’un programme de « bug bounty » dans le cadre duquel les chercheurs en cybersécurité peuvent signaler les vulnérabilités des produits de l’entreprise et, en cas de validation, recevoir un paiement. L’entreprise a déclaré qu’elle partageait les informations et s’engageait avec des organisations tierces lorsque des vulnérabilités affectaient ses produits.
David Colombo a déclaré qu’il avait été en contact avec des membres de l’équipe de sécurité de Tesla et avec le fabricant du logiciel tiers. Cette découverte met en évidence certains des risques liés au passage à ce que l’on appelle l’Internet des objets, où tout, des automobiles aux réfrigérateurs, est connecté en ligne – et devient donc potentiellement vulnérable aux menaces de piratage.
« Il suffit de ne pas connecter les objets critiques à l’internet », a-t-il déclaré. « C’est très simple. Et si vous devez le faire, assurez-vous qu’il est configuré de manière sécurisée. »
