in

Teen Hacker explique comment il a obtenu un contrôle partiel sur les véhicules Tesla


David Colombo a récemment fait des vagues lorsqu’il a tweeté qu’il avait pris le contrôle à distance d’un certain nombre de véhicules Tesla dans le monde. Dans le cadre d’une divulgation responsable, il a récemment expliqué comment il l’avait fait et ce que cela signifiait pour les propriétaires de Tesla.

Colombo est un entrepreneur en cybersécurité de 19 ans originaire d’Allemagne qui a travaillé avec RedBull, le département américain de la Défense et d’autres. À la fin de l’année dernière, la société qu’il a fondée, Colombo Technology, travaillait avec une société de logiciels en tant que service de Paris dont le directeur de la technologie conduisait une Tesla.

En fouinant, il a fini par découvrir une page Web appelée TeslaMate, qui lui a donné toutes sortes d’informations sur la voiture du propriétaire, y compris la durée de son sommeil, son état de charge et son kilométrage.

Lire la suite: Le piratage de 25 Teslas autour du monde par un adolescent n’est pas ce que cela ressemble

« Je dois dire que je suis moi-même un grand fan de Tesla. Je voulais donc vraiment savoir ce qu’était exactement cette chose », a écrit Colombo. « TeslaMate est une application plutôt cool. Un enregistreur de données auto-hébergé pour Tesla [sic]. Et c’est open-source, donc vous pouvez tout trouver sur GitHub.

Au début, cependant, il semblait qu’il ne pouvait afficher que des informations sur la voiture. Mais il était curieux alors il a creusé plus profondément et a découvert qu’il pouvait en fait trouver les données de conduite de la voiture. Cela signifiait qu’il pouvait voir où se trouvait la voiture, où elle avait chargé, où elle se gare habituellement, les demandes de navigation, l’historique des mises à jour logicielles, etc.

« Moi après avoir vu ça : désolé quoi ? 0.o », a-t-il écrit. « Ce n’était… pas bon. Et maintenant, je savais définitivement que c’était un problème que je devais signaler. Je ne devrais pas être en mesure de savoir où le CTO de cette société SaaS est parti en vacances l’année dernière.

La découverte que TeslaMate pouvait extraire des données a rendu Colombo curieux de savoir s’il pouvait envoyer des commandes à Tesla. Il a lu son code source pour comprendre comment l’authentification fonctionnait et a découvert que le contrôle d’un ensemble sélectionné d’actions de véhicules était accessible en utilisant la plus ancienne astuce du livre.

“Avez-vous déjà entendu parler de ce problème de cybersécurité distant appelé… ‘mots de passe par défaut’ ? Oui, l’installation Grafana de TeslaMate Docker est livrée avec des informations d’identification par défaut », a-t-il écrit. « J’ai pris la photo et j’ai essayé de me connecter avec admin:admin ce qui, sans surprise, mais toujours hilarant, cela a fonctionné. »

Ce faisant, il a découvert qu’il pouvait verrouiller et déverrouiller les portes, klaxonner, modifier les paramètres de chauffage et de climatisation, etc. Il aurait même été possible d’ouvrir certaines portes de garage si elles étaient connectées aux plus de 25 véhicules dans 13 pays auxquels il a pu accéder.

Bien qu’il ne puisse pas contrôler la direction, l’accélérateur ou le freinage, Colombo pense toujours qu’il s’agit d’un problème de sécurité majeur.

« Je pense aussi que cela pourrait potentiellement entraîner des situations dangereuses sur la route », a-t-il écrit. « Par exemple, si quelqu’un avec un accès à distance commence à faire exploser de la musique au volume maximum pendant que le conducteur est sur l’autoroute, ou à faire clignoter à distance de manière aléatoire et incontrôlable les lumières du Teslas la nuit. »

Heureusement, Colombo a signalé ses découvertes à Tesla et au reste du monde et, le 13 janvier, les utilisateurs concernés ont été contactés par l’équipe de sécurité de Tesla. Il recommande de vérifier vos e-mails si vous avez déjà déployé TeslaMate.

Bien que Colombo affirme avoir fait tout cela pour mettre en évidence les failles de sécurité, il ne pense pas que Tesla ait fait du mauvais travail ou ait même été particulièrement laxiste dans ses mesures de cybersécurité. Il s’agit d’un problème tiers et, bien qu’il y ait toujours place à l’amélioration (il fait quelques suggestions dans son article), il est en fait impressionné par la sécurité de Tesla et sa réponse à ce problème.

« Tesla n’est pas responsable des problèmes de propriétaire ou de tiers. Heureusement, ils ont quand même aidé à remédier à cela et à protéger les propriétaires de Tesla concernés », a-t-il écrit. « Et peut-être mettront-ils même en œuvre certaines recommandations pour offrir à leurs utilisateurs une expérience encore plus sécurisée. »

Si vous êtes un propriétaire de Tesla un peu effrayé par tout cela, Colombo a quelques recommandations pour vous. Tout d’abord, vous devez faire très attention à qui vous donnez vos informations d’identification. Vous devez également activer Pin-to-Drive pour empêcher quelqu’un de voler votre voiture et vous devez mettre à jour TeslaMate, qui a été rendu plus sécurisé depuis qu’il a révélé ce problème pour la première fois. Vous ne devriez pas non plus « mettre des trucs au hasard sur Internet ».

Pour l’avenir, Colombo a déclaré qu’il poursuivrait ses recherches sur la sécurité liée à Tesla afin de la garder aussi sécurisée que possible.

« La sécurité automobile est un sujet très important, d’autant plus que d’autres constructeurs automobiles, tels que VW, se joignent à la numérisation de leurs flottes », a-t-il conclu.



What do you think?

8.8k Points
Upvote Downvote

Gordon Murray T.33 est une supercar analogique plus raffinée

Mettalex et S&P Global Platts s’associent pour faire évoluer DeFi et autonomiser les négociants en matières premières