Une vulnérabilité récemment découverte dans l’application Tesla souligne un risque croissant pour les propriétaires de ces véhicules populaires. Les chercheurs Talal Haj Bakry et Tommy Mysk ont démontré qu’une simple attaque de phishing, exploitant cette faille, permet aux pirates d’accéder aux comptes Tesla et de prendre le contrôle des véhicules.
Cette méthode d’attaque de type Man-in-the-Middle (MiTM) implique l’utilisation d’un réseau Wi-Fi trompeur nommé « Tesla Guest ». Les propriétaires de Tesla, pensant se connecter à un réseau fiable, sont redirigés vers une fausse page de connexion Tesla, où la saisie de leurs informations d’identification donne involontairement un accès complet de leur compte aux attaquants.
Ce type d’attaque est particulièrement inquiétant, car il permet non seulement de déverrouiller et de démarrer la voiture à distance, mais aussi de suivre sa localisation en temps réel. L’outil principal utilisé pour cette attaque est un appareil nommé Flipper Zero, bien que d’autres dispositifs tels qu’un Raspberry Pi ou un smartphone Android puissent également être utilisés.
Implications de la sécurité et réponse de Tesla
La vulnérabilité repose dans la simplicité d’associer un nouveau téléphone comme « Clé de téléphone » (Phone Key) à un véhicule. Après l’ajout de cette clé, les pirates peuvent déverrouiller et démarrer la voiture via Bluetooth sans que le propriétaire ne reçoive d’alerte, et cela sans la présence physique de la voiture ou du smartphone. Les chercheurs suggèrent que l’intégration d’une carte-clé physique Tesla pourrait renforcer la sécurité lors de l’ajout d’une nouvelle clé de téléphone.
Dans leur rapport à Tesla, Mysk et Haj Bakry ont noté qu’ils ont pu ajouter une seconde clé de téléphone sur un nouvel iPhone sans que l’application Tesla n’exige l’utilisation d’une carte-clé pour authentifier la session. En réponse, Tesla a déclaré que c’était le comportement attendu et que le manuel du propriétaire de la Tesla Model 3 ne stipule pas la nécessité d’une carte-clé pour ajouter une clé de téléphone.
La découverte de cette vulnérabilité soulève des questions critiques concernant la sécurité des véhicules Tesla et la nécessité pour l’entreprise de réévaluer ses protocoles de sécurité. L’absence de reconnaissance de cette faille comme un problème de sécurité par Tesla expose les propriétaires à un risque accru de cyberattaques.
