Tesla Motors a la réputation d’être l'un des constructeurs automobiles parmi les plus attentifs à la cybersécurité de ses systèmes embarqués. Il a même mis en place un programme de primes au bug. Mais cela ne signifie pas que le logiciel équipant ses véhicules ne contient aucune faille. Ainsi, les chercheurs de l'entreprise technologique chinoise Tencent ont découvert une série de vulnérabilités qui, combinées entre elles, leur a permis de prendre le contrôle à distance de différentes fonctions sur un véhicule Tesla Model S : le toit ouvrant, l’affichage central, le verrouillage des portes et même le système de freinage. L'attaque a permis aux chercheurs d'accéder au réseau local CAN (Controller Area Network) qui assure le transfert d’informations via un bus de données et permet aux ordinateurs spécialisés du véhicule de communiquer entre eux. « D’après nos connaissances, il s’agit de la première d'attaque à distance qui détourne le CAN Bus pour réaliser des contrôles à distance sur les voitures Tesla », ont déclaré lundi dans un blog les chercheurs du Keen Security Lab de Tencent. « Nous avons reproduit le vecteur d'attaque sur plusieurs véhicules Tesla Model S. Et nous pouvons raisonnablement penser que d'autres modèles du constructeur sont concernés ».
Le blog est accompagné d'une vidéo de démonstration dans laquelle les chercheurs montrent tout ce qu’ils ont pu faire en exploitant leur attaque. Celle-ci fonctionne aussi bien quand le véhicule est garé que quand il roule. D’abord, quand la voiture était stationnée, les chercheurs ont utilisé un ordinateur portable pour actionner le toit ouvrant à distance, activer les feux de direction, repositionner le siège du conducteur, contrôler le tableau de bord et l'affichage central et déverrouiller le véhicule de Tesla. Dans une seconde démonstration, ils ont pu mettre en route les essuie-glaces alors que la voiture roulait à faible vitesse sur une aire de stationnement. Ils ont également montré qu'ils pouvaient ouvrir le coffre et rabattre le rétroviseur au moment où le conducteur s’apprêtait à changer de voie. Toutes ces anomalies peuvent distraire le conducteur dans certaines situations et présentent un risque. Mais, beaucoup plus dangereux, les chercheurs ont pu freiner le véhicule alors qu’il se trouvait à une vingtaine de kilomètres de distance. La même attaque, exécutée sur un véhicule roulant à grande vitesse sur une autoroute, pourrait provoquer de sérieux accidents.
Mise à jour over the air
Toutes les vulnérabilités ont été communiquées par les chercheurs à Tesla par le biais de son programme de primes aux bugs et le constructeur travaille déjà sur des correctifs. Heureusement, Tesla peut mettre à jour à distance le firmware de ses véhicules et la firme demande à ses clients de faire en sorte que leurs véhicules exécutent toujours la dernière version du logiciel. Cela fait quelques années déjà que le piratage des voitures attire l’attention des chercheurs en sécurité, des régulateurs et des constructeurs automobiles eux-mêmes. Alors que les véhicules sont de plus en plus interconnectés, les tentatives de piratage à distance ne feront qu’augmenter. Il est donc important que les ordinateurs chargés d’exécuter des fonctions de sécurité critiques soient isolés et protégés. Tesla n'a pas immédiatement répondu à une demande de commentaire.