Cet exploit leur a non seulement valu un prix de 100 000 $, mais aussi la Model 3 qu’ils ont réussi à compromettre. Examinons l’importance de cet événement en matière de cybersécurité et son impact sur l’avenir des véhicules connectés de Tesla.
Les efforts de cybersécurité de Tesla mis à l’épreuve
Ces dernières années, Tesla a beaucoup investi dans la cybersécurité, travaillant étroitement avec des pirates informatiques éthiques (whitehat) et participant au concours de piratage Pwn2Own. Cet événement offre des prix importants, y compris les voitures électriques de Tesla, à ceux qui parviennent à compromettre les systèmes de sécurité du constructeur automobile.
Le piratage de véhicules, en particulier ceux de Tesla, est devenu un incontournable de la conférence ces dernières années. Cette année, la Zero Day Initiative, l’organisation qui dirige Pwn2Own, a confirmé que la Tesla Model 3 présentée lors de l’événement a été piratée avec succès par l’équipe Synacktiv.
CONFIRMED! @Synacktiv successfully executed a TOCTOU exploit against Tesla – Gateway. They earn $100,000 as well as 10 Master of Pwn points and this Tesla Model 3. #Pwn2Own #P2OVancouver pic.twitter.com/W61NasJPAl
— Zero Day Initiative (@thezdi) March 22, 2023
Accès root obtenu et système compromis
L’équipe Synacktiv a réussi à obtenir un accès root au système de Tesla, affirmant qu’elle pouvait « prendre le contrôle » de l’ensemble de la voiture. Après avoir terminé leur exploit dans une chambre d’hôtel, les pirates ont compromis le système d’infodivertissement de la Tesla Model 3 via Bluetooth et ont élevé leurs privilèges à root. Associé à une entrée précédente, cela aurait pu entraîner une prise de contrôle complète de la voiture.
Le piratage a été confirmé comme étant une exploitation TOCTTOU (Time-of-check-to-time-of-use), une condition de concurrence basée sur un fichier qui se produit lorsqu’une ressource est vérifiée pour une valeur spécifique, comme l’existence ou non d’un fichier, et que cette valeur change avant que la ressource ne soit utilisée, invalidant les résultats de la vérification.
Tirer des leçons du piratage: rendre les produits plus sécurisés
Les résultats des piratages éthiques, comme celui démontré lors de Pwn2Own, sont toujours partagés avec les entreprises concernées afin d’améliorer la sécurité de leurs produits. Tesla, qui investit massivement dans la cybersécurité, utilisera sans aucun doute ces précieux retours d’information pour renforcer ses mesures de sécurité.
Dans le passé, l’engagement de Tesla en matière de cybersécurité a été démontré dans des rapports tels que « Le grand piratage de Tesla », lorsqu’un pirate informatique a réussi à prendre le contrôle de l’ensemble de la flotte de Tesla. En participant à des événements comme Pwn2Own et en collaborant avec des chercheurs en sécurité, Tesla cherche à anticiper les menaces potentielles et à assurer la protection maximale de ses véhicules et de ses clients.
Un avenir plus sûr grâce à la collaboration
En conclusion, cet événement démontre l’importance de la collaboration entre les constructeurs automobiles et les experts en cybersécurité pour anticiper les vulnérabilités et renforcer la sécurité des véhicules connectés. La réussite du piratage de la Tesla Model 3 lors de la conférence Pwn2Own met en lumière les défis constants auxquels sont confrontées les entreprises pour protéger leurs produits et les utilisateurs finaux. En s’associant à des pirates informatiques éthiques et en participant à des événements tels que Pwn2Own, Tesla et d’autres constructeurs automobiles peuvent continuer à améliorer leurs systèmes de sécurité, offrant une expérience de conduite plus sûre et plus fiable pour tous.
Afficher sommaire
Je suis une grande fan de nouvelles sur les gens – je suis une pro de la tech et des smartphones, de la littérature de série, et j’écris pendant mon temps libre.