À l'occasion du concours de piratage Pwn2Own, deux hackers sont parvenus à prendre le contrôle du navigateur web d'une Tesla Model 3. Comme il s'y était engagé, le constructeur leur a fait cadeau de la voiture électrique.

 

 

au sommaire

    En plus des primes substantielles en monnaie sonnante et trébuchante, deux hackers sont repartis du concours de piratage Pwn2Own avec une Tesla Model 3. L'événement, qui s'est achevé en fin de semaine dernière à Vancouver (Canada) durant la conférence CanSecWest, mettait, pour la toute première fois, les experts au défi de pénétrer les défenses d'une voiturevoiture. Il s'agissait donc de la dernière berline électrique de TeslaTesla d'une valeur de 44.000 dollars.

    Richard Zhu et Amat Cam, de l'équipe Fluoroacetate, ont été les seuls à trouver une faille dans le système multimédia de la Model 3. Le duo a trouvé le moyen d'infiltrer le navigateur Internet de la voiture pour y afficher un court message. Il n'en fallait pas plus pour décrocher la victoire et repartir avec la Model 3 ainsi qu'une prime de 35.000 dollars.

    Le coffre bien garni de la Tesla Model 3 remportée par le duo de hackers Fluoroacetate qui ont cumulé 375.000 dollars de primes pour leurs exploits. © Zero Day Initiative
    Le coffre bien garni de la Tesla Model 3 remportée par le duo de hackers Fluoroacetate qui ont cumulé 375.000 dollars de primes pour leurs exploits. © Zero Day Initiative

    Les hackers n’ont pas eu accès aux fonctions majeures de la Model 3

    Pour parvenir à leurs fins, les hackers de Fluoroacetate ont exploité un bugbug de type « just in time » qui contourne le système de stockage mémoire aléatoire des données protégeant le navigateur. Au final, la démonstration est surtout symbolique car elle n'a pas permis aux hackers de prendre le contrôle de fonctions essentielles de la Model 3. Tesla a indiqué qu'une mise à jour de sécurité serait diffusée dans les prochains jours pour colmater cette brèche.

    Il sera intéressant de voir si la prochaine édition du Pwn2Own verra d'autres constructeurs soumettre leurs voitures aux assauts des hackers. En attendant, Richard Zhu et Amat Cam n'ont pas fait que braver Tesla. Les deux experts ont aussi exploité avec succès des failles dans les navigateurs AppleApple Safari, Firefox, MicrosoftMicrosoft Edge, ainsi que VMware Workstation, et Windows 10Windows 10. Pour cela, ils ont empoché 375.000 dollars sur les 545.000 dollars distribués sur l'ensemble de la compétition.

    Concours de piratage Pwn2Own : qui arrivera à prendre le contrôle de Tesla model 3 ?

    Article de Marc ZaffagniMarc Zaffagni, le 15/01/2019

    Pour la première fois une voiture, la Model 3 de Tesla, sera soumise aux assauts de hackers participant au concours de piratage Pwn2Own. Celui ou celle qui parviendra à prendre le contrôle du système informatique embarqué de la voiture électrique se verra offrir une Model 3.

    Chaque année, le concours de piratage Pwn2Own réunit la fine fleur des hackers bien intentionnés, les « White hat », comme on les surnomme. Il met les participants, hommes et femmes confondus, au défi d'exploiter les vulnérabilités de logiciels, smartphones, ordinateursordinateurs les plus populaires. C'est ainsi que les principaux navigateurs Internet, mais aussi l’iPhone, ont cédé aux assauts de ces experts attirés par le prestige que confèrent ces exploits et les primes en monnaie sonnante et trébuchante.

    L'édition 2019 du Pwn2Own, qui se tiendra en mars prochain durant la conférence CanSecWest, à Vancouver (Canada), promet d'être encore plus spectaculaire puisque pour la première fois, une voiture sera livrée en pâture aux hackers et aux hackeuses. En effet, Tesla a accepté de fournir une Model 3 pour l'occasion. Le premier concurrent, ou la première, qui parviendra à percer les défenses de la voiture électrique gagnera une Tesla Model 3 d'une valeur de 44.000 dollars et, en plus, la prime en numéraire correspondant à son ou ses exploits.

    Six points d’attaque sur la Tesla Model 3

    Tesla est le constructeur qui a poussé le plus avant le concept de voiture connectée. Ses modèles sont de véritables ordinateurs, régulièrement mis à jour à distance pour ajouter des fonctionnalités. Les organisateurs du Pwn2Own ont défini six points d'attaque auxquels les hackers peuvent s'atteler. Il y a, notamment, la réussite d'une attaque par déni de servicedéni de service sur le système d'assistance à la conduite Autopilot, le piratage de la clé électronique, des connexions BluetoothBluetooth et Wi-FiWi-Fi ou encore du système multimédia. Les primes s'échelonnent de 50.000 à 250.000 dollars.

    En 2014, Tesla a lancé son propre programme de récompense pour la découverte de bugs qui offre désormais des primes pouvant atteindre 15.000 dollars. Les systèmes de batteries domestiques Tesla Powerwall font aussi partie de ce programme de hacking.