Les voitures Tesla localisables et déverrouillables à distance

Quand ils commandent un véhicule Tesla Model S, les futurs propriétaires doivent créer un compte sur Teslamotors.com. Ce même compte leur permet aussi d'utiliser une application iOS pour déverrouiller à distance les portes de leur véhicule, le localiser, fermer et ouvrir le toit, actionner ses éclairages ou klaxonner. Selon le chercheur en sécurité Nitesh Dhanjani, le compte qui contrôle l'accès à ces fonctionnalités importantes est peu exigeant sur le choix des mots de passe : seuls six caractères, dont au moins un chiffre et une lettre, sont requis pour s'identifier.  Toujours selon le chercheur, le site Tesla Motors ne semble pas adopter une politique de verrouillage de compte très rigoureuse. Par exemple, il ne limite pas le nombre de connexions incorrectes. Si bien que « les comptes enregistrés sur le site sont très vulnérables aux attaques par force brute, puisqu'il est possible de multiplier les tentatives à l'infini », a déclaré Nitesh Dhanjani sur son blog.

Mais, les attaques par force brute ne sont qu'une des menaces potentielles. Les comptes de Tesla Motors pourraient également être visés par des campagnes de phishing ou ciblés par des logiciels malveillants. Ou encore, « les mots de passe pourraient être compromis en cas de vol de données, si le propriétaire utilise le même mot de passe pour se connecter à d'autres sites », explique le chercheur. En outre, « si l'e-mail associé au compte Tesla est compromis, un attaquant pourrait simplement réinitialiser le mot de passe du compte, car le site n'a mis en place aucun système de vérification, comme des questions secrètes », a-t-il déclaré.

Le chercheur estime également que, dans sa mise en oeuvre actuelle, l'API REST Tesla utilisée par l'application officielle iOS pour interagir avec le service en ligne peut également représenter une menace sur le plan de la sécurité. En effet, « l'API peut être utilisée par des applications tierces et celles-ci demandent à l'utilisateur de se connecter avec ses identifiants Tesla », explique le chercheur. « Par exemple, une application appelée Tesla for Glass, qui permet aux utilisateurs de surveiller et de contrôler leur véhicule avec leurs Google Glass, conserve les informations d'identification de l'utilisateur », a-t-il déclaré.

Renforcer le périmètre de sécurité

Nitesh Dhanjani pense que Tesla Motors devrait mieux protéger les comptes créés par ses acheteurs, et en tout cas, demander plus qu'un simple mot de passe statique. Le chercheur conseille vivement aux propriétaires de véhicules Tesla de prendre des précautions contre ces risques de sécurité potentiels avant qu'il ne soit trop tard. « Compte tenu des conséquences possibles, nous savons que nous ne pouvons pas protéger nos véhicules contre le piratage en utilisant les mêmes méthodes qui nous permettaient de protéger nos postes de travail à la maison, en nous appuyant sur des mots de passe statiques et des réseaux de confiance », a ajouté le chercheur. « Les implications en matière de sécurité physique et de vie privée sont des enjeux autrement plus importants ».

« La sécurité de nos clients est notre priorité. Nous sommes aussi impliqués dans la sécurité de nos véhicules que dans la protection des failles de sécurité en ligne », a déclaré le constructeur américain qui vend des véhicules électriques haut de gamme dans un communiqué. « Nos équipes spécialisées dans la sécurité informatique protègent nos produits et nos systèmes contre les vulnérabilités. Nous travaillons aussi avec la communauté des chercheurs en sécurité et nous les encourageons activement à nous faire part de tout problème par le biais de notre processus de rapport ».

La sécurité, le talon d'Achille de l'Internet des objets

« Il n'est pas rare que des constructeurs automobiles, pourtant très innovants sur le plan de l'ingénierie, ne soient pas au fait de la sécurité informatique, simplement parce que dans le passé, la question de la protection numérique des véhicules ne se posait pas », a déclaré Bogdan Botezatu, analyste principal spécialisé dans l'e-menace chez Bitdefender. « Certes, le compte en ligne ne permet pas à un attaquant potentiel de contrôler les systèmes critiques de la voiture, mais il pourrait permettre à quelqu'un de la localiser physiquement et de la déverrouiller ». L'analyste estime que les comptes de Tesla devraient exiger un second facteur d'authentification, notamment si un utilisateur essaye de se connecter depuis un terminal différent ou après expiration d'une session.

De plus en plus de fabricants permettent aux utilisateurs de contrôler des dispositifs à distance grâce à des services basés sur le cloud. Cela va des caméras IP aux périphériques de stockage connectés au réseau en passant par les capteurs domotiques. Mais selon Bogdan Botezatu, « il va falloir attendre un certain temps avant que les constructeurs sécurisent les dispositifs dits de l'Internet des objets. Pour le moment, ils concentrent la plupart de leurs efforts d'ingénierie sur les fonctionnalités et sur les performances de la batterie ».