Tesla : oups, une faille de sécurité permet d’activer gratuitement les fonctions payantes des voitures électriques

Découvert par un groupe de chercheurs, un “jailbreak” des voitures électriques Tesla permet d'activer leurs fonctions payantes gratuitement. Selon eux, la faille de sécurité ne pourrait pas être corrigée par une mise à jour logicielle.

De plus en plus intelligentes et sophistiquées, les voitures électriques sont aussi de plus en plus vulnérables au piratage. Sur les Tesla, ça c'est déjà vu. Il y a quelques années, on pouvait voler une Tesla Model X en 90 secondes. Sans aller aussi loin, un groupe d'étudiants aidé d'un chercheur en cybersécurité ont découvert comment activer gratuitement les options payantes des Tesla. Pour cela, ils ont réussi à pirater le système d'infodivertissement (MCU-Z) afin de le “rooter” ou le “jailbreaker”. C'est-à-dire s'accorder tous les droits sur le véhicule.

À partir de là, à vous le boost, les sièges arrière chauffants ou le FSD, la conduite 100 % autonome, sans débourser un seul centime. D'une manière générale, faire ce que l'on veut du MCU-Z signifie pouvoir installer n'importe quel logiciel sur la voiture électrique, même si c'est normalement interdit. Les chercheurs précisent que la faille découverte touche à une couche tellement profonde du système qu'elle ne pourrait pas être corrigée avec une mise à jour logicielle.

Comment ce hack des Tesla permet d'activer gratuitement leurs fonctions payantes

En utilisant une attaque connue appelée injection de défaut de tension, le groupe a réussi à extraire la clé RSA unique à chaque véhicule. Une fois celle-ci récupérée, ils s'en servent pour attaquer le processus de démarrage et s'octroyer les droits sur la voiture. Les étudiants n'expliquent pas la manipulation exacte évidemment, mais précisent que cela peut être réalisé par une personne ayant de l'expérience en électronique pour environ 100 $.

Lire aussi – Une Tesla Model 3 piratée, les hackers repartent avec la voiture

Toutes les manipulations illégales effectuées résistent aux redémarrages et aux mises à jour du système. L'accès total permet aussi au hacker de récupérer les données personnelles enregistrées par le propriétaire du véhicule, comme son répertoire téléphonique ou son emploi du temps. Les découvertes des chercheurs seront exposées plus en détail le 9 août, lors du rassemblement Black Hat USA 2023.