Des pirates informatiques franais s'emparent d'une Tesla Model 3 et de 100 000 dollars, de manire parfaitement lgale

Malgr leur popularit, les voitures Tesla sont notoirement piratables. Lors de l'vnement annuel Pwn2Own, Synacktiv, une socit de scurit franaise, a dmontr avec succs deux exploits visant la toute dernire voiture lectrique Tesla. Les pirates ont gagn 100 000 dollars, ainsi que la Model 3 qu'ils ont russi compromettre.

Tesla est revenu en tant que sponsor de l'vnement Pwn2Own 2023, offrant des prix en espces et des voitures aux hackers blancs qui pourraient dcouvrir des vulnrabilits de scurit dans leurs vhicules. L'quipe de Synacktiv a relev le dfi et a russi pirater une Tesla Model 3, ce qui lui a valu 100 000 dollars et le vhicule en guise de prix.

Le concours annuel de piratage informatique Pwn2Own est connu pour ses enjeux levs, et la participation de Tesla l'vnement dmontre l'engagement de l'entreprise en matire de cyberscurit.

Cette anne, le fabricant de vhicules lectriques a apport un Model 3 et un Model S comme cibles pour les pirates. Tesla a offert un premier prix de 600 000 dollars, plus la voiture, toute personne ou quipe capable de prsenter une chane d'exploitation complexe menant la compromission complte du vhicule.

Synacktiv fait la dmonstration d'un exploit complexe et remporte le premier prix

L'quipe de Synacktiv a relev le dfi en excutant une attaque Time of Check to Time of Use (TOCTOU) contre la Tesla Energy Gateway. Ce type de vulnrabilit en matire de cyberscurit se produit lorsqu'un attaquant exploite la petite fentre temporelle entre le contrle et l'utilisation d'une ressource, permettant ainsi un accs non autoris ou une modification de la ressource pendant cette brve priode.

C'est la deuxime anne conscutive que Synacktiv russit exploiter une Tesla Model 3 lors de l'vnement Pwn2Own. L'anne dernire, ils ont russi exploiter le systme d'infodivertissement du vhicule, mais la complexit du piratage n'a pas t suffisante pour remporter la voiture. Cette anne, cependant, leur attaque TOCTOU russie leur a permis de gagner 100 000 dollars, la Model 3 et 10 points de Master of Pwn.

L'vnement met en lumire la scurit des vhicules dans un monde connect

La participation de Tesla Pwn2Own souligne l'importance de la scurit des vhicules mesure que les VE deviennent de plus en plus connects et sophistiqus. Les progrs technologiques s'accompagnent de la ncessit de mettre en place des mesures de scurit robustes pour protger les conducteurs, les passagers et les vhicules contre d'ventuelles cyberattaques.

Tesla a rcemment publi la manire dont l'entreprise recueille et utilise les informations relatives ses propritaires et ses conducteurs. Elle a galement expliqu aux propritaires comment obtenir des informations dtenues par l'entreprise et comment les supprimer.

En invitant des pirates informatiques tester les systmes de scurit de ses vhicules, Tesla peut recueillir des informations prcieuses sur les vulnrabilits potentielles et mettre au point des dfenses plus solides pour ses voitures. Cette approche proactive de la cyberscurit constitue un exemple positif pour l'industrie automobile et dmontre l'engagement de Tesla maintenir le plus haut niveau de scurit pour ses clients.

SecurityWeek a rapport qu'une quipe de scurit de Tesla tait prsente lors de l'vnement et a pu confirmer les rsultats. On pense que l'entreprise utilise son systme d'auto-mise jour pour publier des corrections.

Ces dernires annes, Tesla a beaucoup investi dans la cyberscurit et a travaill avec des pirates informatiques pour amliorer la scurit. En outre, le piratage des vhicules Tesla est un lment essentiel de la confrence sur le piratage informatique depuis un certain nombre d'annes. Ce dernier piratage dmontre qu'il existe encore des vulnrabilits qui doivent tre corriges.

Un aperu de la Tesla Model 3

En France et en Europe, les premires livraisons clients de la Model 3 ont dbut en fvrier 2019. Depuis, elle devient la plus grande success story mondiale de la voiture lectrique. Une des caractristiques de la voiture est son immense toit en verre allant du pare-brise larrire de la voiture. Il assure une bonne luminosit mais aussi un meilleur arodynamisme. En outre, lintrieur de la Tesla Model 3 tranche radicalement avec les autres vhicules du march par son minimalisme. Linstrumentation de bord se rsume un immense cran tactile central.

Construit pour sa scurit, le Model 3 a obtenu la note de scurit 5 toiles de la NHTSA dans toutes les catgories et sous-catgories. Le modle 3 a reu le prix IIHS Top Safety Pick+, avec les meilleures notes dans toutes les catgories de rsistance aux chocs et de prvention des collisions frontales. La Model 3 est conue ds le dpart comme un vhicule lectrique, avec de l'acier trs haute rsistance et un centre de gravit bas et solide. Avec un mlange d'aluminium et d'acier, il permet d'obtenir la meilleure rigidit structurelle et d'accrotre la scurit des occupants.

La position et le poids de la batterie monte sur le plancher permettent d'obtenir un centre de gravit trs bas, ce qui rduit considrablement le risque de retournement.

Les diffrentes versions de la Model 3

En France, la Tesla Model 3 se dcline en trois versions. Leurs dernires caractristiques sont listes ci-dessous :

la Model 3. Configure en propulsion, celle-ci propose une autonomie de 491 km en cycle WLTP (510 km avec les jantes 18″ de srie), un 0 100 km/h abattu en 6,1 secondes et une vitesse de pointe de 225 km/h ;
la Model 3 Grande Autonomie . galement appele Long Range aux Etats-Unis, celle-ci accueille une transmission intgrale pour un 0 100 km/h abattu en 4,4 secondes et une vitesse de pointe de 233 km/h. En matire dautonomie, le constructeur communique sur 602 kilomtres en cycle WLTP (638 km avec les jantes 18″ de srie) ;
la Model 3 Performance qui reprend les bases de la version Long Range mais avec une motorisation plus pousse qui permet dabattre le 0 100 km/h en 3,3 secondes et une vitesse de pointe de 261 km/h ;
Base sur la mme batterie que la version Grande Autonomie, celle-ci annonce jusqu 547 km dautonomie en cycle WLTP.

Un large ventail de cibles de piratage

Lors de l'vnement annuel Pwn2Own, les rcompenses disponibles dans chacune des catgories varient. Les exploits et les vulnrabilits de Windows RDP/RDS et d'Exchange, par exemple, ont permis d'obtenir des rcompenses allant jusqu' 200 000 dollars. De mme, les bogues de VMware ESXi ont rapport 150 000 dollars, les vulnrabilits de Zoom 75 000 dollars et les bogues de Microsoft Windows 11 30 000 dollars.

Les vulnrabilits dans la catgorie automobile - sans surprise - ont offert les rcompenses les plus leves, avec un total de 500 000 dollars gagner pour les chercheurs qui ont dcouvert des failles dans les systmes de Tesla, notamment son systme d'infodivertissement, sa passerelle et ses sous-systmes d'autopilotage.

Les chercheurs ont eu l'occasion de s'essayer la Model 3 et la Tesla S. Ceux qui ont trouv des moyens de maintenir la persistance de la racine sur le systme d'infodivertissement, le systme de pilotage automatique ou le systme de bus CAN de la voiture ont eu l'occasion de gagner 100 000 dollars supplmentaires. Le montant total offert de 600 000 dollars est le plus important de l'histoire de Pwn2Own pour une seule cible.

Paradoxalement, la catgorie des navigateurs, qui a fait les beaux jours de Pwn2Own ses dbuts, n'a pas suscit l'intrt des chercheurs cette anne. Nous constatons le mme niveau de participation que les annes prcdentes, l'exception de la catgorie "navigateur" , explique Childs. Personne ne s'est inscrit dans cette catgorie, et nous ne pouvons que spculer sur les raisons de cette situation.

Jusqu' prsent, au cours des 16 annes d'existence de l'vnement, les chercheurs ont dcouvert un total de 530 vulnrabilits critiques dans toute une srie de technologies et ont reu quelque 11,2 millions de dollars pour leur contribution.

ligibilit l'vnement Pwn2Own

Les employs de Trend Micro Incorporated, Tesla Inc. et VMware Inc. ainsi que leurs socits affilies, filiales, socits apparentes, agences de publicit et de promotion respectives et les membres du foyer de l'une des personnes susmentionnes ne sont pas autoriss participer au concours. Ce concours est nul l o la loi l'interdit.

Les participants doivent avoir atteint l'ge de la majorit dans leur pays, province ou tat de rsidence au moment de l'inscription pour pouvoir participer et ne peuvent tre rsidents d'un pays sous embargo ou sanctionn par les tats-Unis ou figurer sur une liste de personnes interdites d'accs ou interdites de sjour aux tats-Unis. Tout logiciel ou technologie que les participants apportent ou font transfrer dans le cadre du concours dans le pays o se droule le concours ("lieu du concours") peut tre soumis aux contrles l'exportation du pays de rsidence ou d'origine du participant ou aux exigences en matire d'importation et d'exportation du lieu du concours. Les participants sont responsables du respect de tous les contrles d'importation et d'exportation applicables du fait de leur participation au concours.

Le sponsor a le droit de demander tout moment une preuve d'identit et/ou d'ligibilit pour participer au concours. Le fait de ne pas fournir cette preuve peut entraner la disqualification. Toutes les informations personnelles et autres demandes par l'organisateur et fournies ce dernier dans le cadre du concours doivent tre vridiques, compltes, exactes et ne doivent en aucun cas induire en erreur. L'organisateur se rserve le droit, sa seule discrtion, de disqualifier tout participant qui fournirait des informations personnelles fausses, incompltes, inexactes ou trompeuses.

Si vous tes un employ du secteur public, il est essentiel que vous vrifiiez le code d'thique, les lois et/ou les rglements qui rgissent votre capacit accepter des objets de valeur de la part des entreprises avec lesquelles vous faites des affaires. Veuillez obtenir l'approbation ncessaire de votre organisation avant de participer au concours et/ou d'accepter un objet de valeur de la part du sponsor. En outre, les employs du secteur public, les employs des tablissements d'enseignement publics et privs de la maternelle la 12e anne et toutes les bibliothques, y compris les bibliothques publiques, prives, collgiales ou universitaires, les bibliothques de recherche et les bibliothques prives, ne peuvent participer au concours que s'ils le font en dehors de leur statut officiel et non dans le cadre de leur emploi au sein de ces entits.

Prix pour l'vnement Pwn2Own

Trend Micro offre de l'argent et des prix pendant le concours pour les vulnrabilits et les techniques d'exploitation contre les cibles numres dans les catgories ci-dessous. Le premier participant compromettre avec succs une cible dans la catgorie slectionne gagnera le montant du prix indiqu pour cette cible spcifique. Tous les prix sont en dollar.

Le concours comporte sept catgories, savoir :