VIDÉO - Ils clonent la clé d'une voiture Tesla Model S... en moins de deux secondes

VIDÉO - Ils clonent la clé d'une voiture Tesla Model S... en moins de deux secondes

TECH
DirectLCI
PIRATAGE - Des experts en cybersécurité sont parvenus à déverrouiller et à faire démarrer une voiture Tesla Model S, simplement en clonant la clé. Alerté en 2017 de la faille de sécurité, le constructeur a récemment déployé une mise à jour de sécurité.

Le constructeur californien de voitures électriques de luxe a embauché des experts en cybersécurité de renom et a investi des millions de dollars afin de protéger son système de conduite autonome contre les tentatives de piratage à distance. Mais une équipe de chercheurs de l’université KU de Louvain, en Belgique, a découvert une faille de sécurité permettant de cloner, furtivement, la clé sans contact d’une Tesla modèle S.


Les chercheurs sont parvenus à contourner le protocole de chiffrement du système d’ouverture et de démarrage utilisé par Pekton, un sous-traitant de Tesla fabricant des clés. Il leur a suffi de débourser 500 euros sur Internet pour se procurer l’équipement requis : un mini-ordinateur (Raspberry Pi 3 Model B+), un kit d’intrusion sans fil (Proxmark3), un émetteur radio (Yard Stick One) et un pack de batterie USB. Ces experts en cybersécurité en font la démonstration dans une vidéo mise en ligne lundi 10 septembre sur la plateforme de YouTube.

Un code PIN pour démarrer le véhicule

En moins de deux secondes, l’appareil est parvenu à identifier la clé de chiffrement et a trompé le signal radio qui permet de déverrouiller le véhicule et de démarrer le moteur. Ce dernier s’appuie sur un protocole datant de 2005, truffé de failles de sécurité et considéré aujourd’hui comme obsolète par les experts en cybersécurité, soulignent les experts belges. Pour cloner la clé, le pirate doit néanmoins se trouver à moins d’un mètre de son propriétaire.


"Aujourd'hui, il est très facile pour nous de cloner ces porte-clés en quelques secondes", explique Lennert Wouters, un des chercheurs du KU Leuven à Wired. "Nous pouvons complètement usurper l'identité du porte-clés et ouvrir et conduire le véhicule." Alerté en 2017 de la faille, le constructeur américaine a reconnu la faille de sécurité. La semaine dernière, Tesla a déployé de nouvelles fonctionnalités antivol pour le Model S , comme la possibilité de définir un code PIN que quelqu'un doit saisir sur le tableau de bord pour démarrer la voiture.

Le constructeur a indiqué à nos confrères de Wired que les Model S vendues après juin de cette année ne sont pas vulnérables à l’attaque, en raison de la mise à jour du cryptage des porte-clés mis en œuvre en réponse à la recherche de KU Leuven. Mais si les propriétaires d'une Model S fabriqués avant n'activent pas ce code PIN ou ne paient pas pour remplacer leur porte-clés par une version plus fortement cryptée, les chercheurs affirment qu'ils sont toujours vulnérables à leur technique de piratage.


En 2016, des chercheurs chinois en cybersécurité étaient parvenus à prendre le contrôle d’une Tesla Model S, sans le moindre contact physique. Les experts du Keen Security Lab étaient en mesure d’interagir à distance avec le véhicule depuis un ordinateur.  Le piratage visait l’un des systèmes internes de la Model S, le bus CAN, qui assure notamment la transmission des données entre ses différents composants électroniques.

Dans la vidéo publiée sur leur blog, on aperçoit les chercheurs en train d’ouvrir les portes et le coffre, désactiver le panneau de bord, ou encore activer les clignotants et les essuie-glaces, sans être physiquement présents dans le véhicule. Plus impressionnant encore, l’un des chercheurs, qui se trouve selon eux à plus de 15 km de là, déclenche les freins du véhicule alors que la Model S est en route. Selon Tesla, la faille en question a été corrigée depuis.


Avec la commercialisation des voitures autonomes reposant sur un enchevêtrement de systèmes informatiques, la sécurité informatique est devenue l’une des préoccupations majeures des constructeurs. Selon le Guardian, Tesla a engagé des douzaines de chercheurs pour mettre à l’épreuve ses véhicules. L’entreprise offre également la somme de 10.000 euros aux pirates informatiques qui trouveraient des failles sur leurs véhicules. 

Sur le même sujet

Plus d'articles

Lire et commenter