Plus de 25 voitures Tesla hackées : de l’importance d’appliquer la double authentification

 

Un hacker affirme avoir pris le contrôle à distance de plus de 25 voitures Tesla à l’insu des propriétaires. La faille ne viendrait pas des infrastructures du constructeur, mais ce dernier devrait néanmoins revoir sa politique sur la double authentification.

Source : Frandroid

Tesla est-il fautif ? C’est la question que l’on peut se poser en découvrant les allégations de David Colombo, un hacker de 19 ans qui affirme sur Twitter avoir pris le contrôle à distance de plus de 25 voitures électriques de Tesla dans 13 pays différents. C’est surtout l’occasion de rappeler de bonnes pratiques en matière de sécurité et l’importance de la double authentification.

Pour bien comprendre le sujet, il faut savoir que David Colombo explique être en mesure d’activer le mode Sentinelle des véhicules (le système de surveillance des activités de la voiture) ainsi que l’option de conduite sans clé, d’ouvrir les portes et les fenêtres ou encore de connaître la position géographique exacte de chaque Tesla.

Le hacker avance avoir exploité une faille logicielle, mais précise cependant que « ce n’est pas une vulnérabilité de l’infrastructure de Tesla. C’est de la faute des propriétaires [de voiture]. C’est pourquoi je dois le signaler aux propriétaires […] ».

Précisons que le hacker n’a pas le contrôle sur le volant ou les freins des Tesla à distance. Cependant, même si la voiture est en train de rouler, il peut changer le volume de la radio ou activer les feux.

La faille ne vient pas de Tesla

L’histoire reste donc assez floue, mais on peut supposer que la faille de sécurité vient d’une application tierce permettant à l’utilisateur de prendre le contrôle d’une voiture. On pense notamment à celles et ceux qui passent par le logiciel domotique Jeedom, mais il en existe d’autres.

David Colombo préfère sans doute préserver le secret pour ne pas montrer un chemin tout tracé vers la faille à des pirates mal intentionnés tant que la brèche n’aura pas été colmatée. Il tente cependant de rassurer un peu son monde en soulignant que seul un faible nombre de personnes sont concernées à travers le monde. En outre, les équipes de Tesla sont en contact avec le hacker pour lancer une investigation et tenter de corriger le souci.

Activez la double authentification sur Tesla

Quoi qu’il en soit, ce genre d’incidents rappellent l’importance de l’authentification à deux facteurs (2FA) sur l’ensemble de nos appareils connectés. Or, si Tesla n’est pas à l’origine de la faille évoquée ici, le constructeur devrait appliquer une politique plus stricte pour la sécurité de ses utilisateurs.

En effet, la double authentification existe sur Tesla, mais elle n’est pas obligatoire. Or, cette méthode permettrait de facilement se protéger contre une grande majorité des failles de sécurité. Au lieu de laisser un hacker se connecter à leur véhicule à leur insu, les propriétaires de Tesla concernés auraient alors reçu un message (SMS, email…) demandant de confirmer la connexion. Cela les aurait incités à changer de mot de passe et à faire quelques vérifications. Sans être la panacée, la 2FA a de quoi rassurer.

Prenons l’exemple de Google qui force déjà la double authentification pour améliorer la sécurité de ses utilisateurs. D’autres entreprises en font de même à l’instar d’Amazon sur ses caméras Ring après avoir notamment subi un piratage.


Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !