Une faille inquiétante dans l’application Tesla a récemment été révélée par les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk, soulevant des questions sur la sûreté des informations des utilisateurs et la sécurité des véhicules. Les véhicules Tesla, reconnus pour leur technologie avancée, sont désormais au centre des préoccupations en raison de cette vulnérabilité permettant aux pirates d’accéder aux comptes et de contrôler les voitures via une attaque de phishing.
L’attaque se déroule en configurant un faux point d’accès Wi-Fi, souvent près d’un Supercharger Tesla, à l’aide d’un dispositif nommé Flipper Zero. Les utilisateurs, trompés, se connectent à ce réseau et sont dirigés vers une fausse page de connexion Tesla. Les pirates recueillent alors les informations d’identification et peuvent, si proches du véhicule, le déverrouiller et même le démarrer. Ce type d’attaque, bien que simpliste, révèle une lacune majeure dans le processus de sécurisation des comptes Tesla.
Malgré l’activation possible de l’authentification multifacteur, les chercheurs ont démontré que cette sécurité peut être aisément contournée. La menace est d’autant plus sérieuse que le pirate doit être physiquement proche du véhicule pour que l’attaque soit effective, mais aucune alerte n’est envoyée au propriétaire lors de la création d’une nouvelle clé numérique (Phone Key) pour la voiture.
Tesla, de son côté, ne considère pas cette méthode d’ingénierie sociale comme une faille de sécurité. L’entreprise soutient que les actions décrites correspondent au comportement attendu de l’application et ne nécessitent pas d’intervention particulière, une position qui a suscité des inquiétudes parmi les utilisateurs et les experts en sécurité.
Les chercheurs proposent une solution pour augmenter la sécurité : intégrer l’obligation d’utiliser une carte-clé physique lors de l’ajout d’une nouvelle Phone Key, ce qui ajouterait une couche d’authentification. Cependant, jusqu’à présent, Tesla n’a pas modifié ses procédures en conséquence.
Source: Bleeping Computer