Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry de Mysk Inc. ont publié une vidéo sur YouTube expliquant à quel point il peut être facile pour des pirates de s'enfuir avec votre voiture en utilisant une astuce d'ingénierie sociale.
Voici comment cela fonctionne.
De nombreuses stations de recharge Tesla - il y en a plus de 50 000 dans le monde - proposent un réseau WiFi généralement appelé "Tesla Guest" auquel les propriétaires de Tesla peuvent se connecter et qu'ils peuvent utiliser pendant qu'ils attendent que leur voiture se recharge, d'après la vidéo de Mysk.
À l'aide d'un appareil appelé Flipper Zero - un simple outil de piratage de 169 dollars - les chercheurs ont créé leur propre réseau WiFi "Tesla Guest". Lorsqu'une victime tente d'accéder au réseau, elle est dirigée vers une fausse page de connexion Tesla créée par les pirates, qui volent ensuite son nom d'utilisateur, son mot de passe et son code d'authentification à deux facteurs directement sur le site dupliqué.
Bien que Mysk ait utilisé un Flipper Zero pour mettre en place son propre réseau WiFi, cette étape du processus peut également être réalisée avec presque n'importe quel appareil sans fil, comme un Raspberry Pi, un ordinateur portable ou un téléphone cellulaire, explique Mysk dans la vidéo.
Une fois que les pirates ont volé les informations d'identification du compte Tesla du propriétaire, ils peuvent les utiliser pour se connecter à la véritable application Tesla, mais ils doivent le faire rapidement avant que le code 2FA n'expire, explique Mysk dans la vidéo.
L'une des caractéristiques uniques des véhicules Tesla est que les propriétaires peuvent utiliser leur téléphone comme clé numérique pour déverrouiller leur voiture sans avoir besoin d'une carte de clé physique.
Après s'être connectés à l'application avec les informations d'identification du propriétaire, les chercheurs ont créé une nouvelle clé téléphonique tout en restant à quelques mètres de la voiture garée.
Les pirates n'auraient même pas eu besoin de voler la voiture à ce moment-là ; ils auraient pu suivre la localisation de la Tesla à partir de l'application et aller la voler plus tard.
Selon M. Mysk, le propriétaire de la Tesla, qui ne se doute de rien, n'est même pas averti de la création d'une nouvelle clé téléphonique. Et, bien que le manuel du propriétaire de la Tesla Model 3 indique que la carte physique est nécessaire pour configurer une nouvelle clé téléphonique, Mysk a découvert que ce n'était pas le cas, selon la vidéo.
"Cela signifie qu'avec un courriel et un mot de passe divulgués, un propriétaire peut perdre son véhicule Tesla. C'est insensé", a déclaré Tommy Mysk à Gizmodo. "Les attaques de phishing et d'ingénierie sociale sont très courantes aujourd'hui, en particulier avec l'essor des technologies de l'IA, et les entreprises responsables doivent tenir compte de ces risques dans leurs modèles de menace."
Lorsque Mysk a signalé le problème à Tesla, l'entreprise a répondu qu'elle avait enquêté et décidé qu'il ne s'agissait pas d'un problème, a déclaré Mysk dans la vidéo.
Tesla n'a pas répondu à la demande de commentaire de Business Insider.
Tommy Mysk a déclaré avoir testé la méthode sur son propre véhicule à plusieurs reprises et a même utilisé un iPhone réinitialisé qui n'avait jamais été couplé au véhicule auparavant, a rapporté Gizmodo. Mysk affirme que la méthode a fonctionné à chaque fois.
Mysk a déclaré avoir mené l'expérience à des fins de recherche uniquement et a ajouté que personne ne devrait voler de voitures.
À la fin de la vidéo, Mysk a déclaré que le problème pourrait être résolu si Tesla rendait obligatoire l'authentification physique par carte-clé et informait les propriétaires de la création d'une nouvelle clé téléphonique.
Sources : Business Insider, Gizmodo