Une équipe de chercheurs a réalisé une découverte préoccupante en matière de sécurité informatique pour les voitures électriques Tesla. Ils ont réussi à pirater le système d’infodivertissement des véhicules, ce qui leur a permis d’activer gratuitement les fonctionnalités payantes normalement réservées aux versions haut de gamme.
L’équipe de recherche, composée d’étudiants de la TU Berlin et d’un chercheur en sécurité indépendant, a utilisé une technique d’attaque connue sous le nom d’injection de défaut de tension pour extraire une clé RSA unique associée à chaque véhicule. Grâce à cette clé, ils ont pu contourner les restrictions imposées par Tesla et obtenir les droits d’accès complets au système d’infodivertissement, également appelé MCU-Z.
Cette attaque matérielle permet aux utilisateurs de “jailbreaker” leur Tesla, c’est-à-dire d’obtenir des droits d’accès complets sur leur véhicule, ce qui leur donne la possibilité d’installer n’importe quel logiciel sur le système. En exploitant cette faille, ils peuvent activer des fonctionnalités payantes sans devoir les payer.
Parmi les fonctionnalités ainsi déverrouillées figurent notamment le boost d’accélération et les sièges arrière chauffants, ainsi que des fonctionnalités plus avancées telles que le FSD (Full Self-Driving), qui offre une conduite entièrement autonome.
Ce qui est encore plus inquiétant, c’est que les chercheurs estiment que cette faille est impatchable. Elle touche une couche si profonde du système d’infodivertissement qu’une mise à jour logicielle ne suffirait pas à la corriger.
Outre le risque lié aux fonctionnalités débloquées, cette attaque permet également aux pirates de récupérer des données personnelles stockées dans le système, telles que le répertoire téléphonique et l’emploi du temps du propriétaire du véhicule.
Les chercheurs présenteront en détail leurs découvertes lors de la conférence des hackers Black Hat USA 2023, qui aura lieu le 9 août prochain. Cette présentation devrait susciter un grand intérêt dans l’industrie automobile et la communauté de la cybersécurité.