Le buzz autour du hacker Tesla de 19 ans, David Colombo, est bien mérité. Une faille dans un logiciel tiers lui a permis d’accéder à distance à 25 des véhicules des principaux constructeurs mondiaux de véhicules électriques dans 13 pays. Le pirate a partagé qu’il était capable de déverrouiller les portes à distance, d’ouvrir les fenêtres, de diffuser de la musique et de démarrer chaque véhicule.
Les vulnérabilités qu’il a exploitées ne se trouvent pas dans le logiciel de Tesla, mais dans une application tierce, il y a donc des limites à ce que Colombo pourrait accomplir ; il ne pouvait rien faire pour dévier, accélérer ou ralentir. Mais il a pu ouvrir des portes, klaxonner, contrôler des lampes de poche et collecter des données privées sur les véhicules piratés.
Les véhicules électriques sont amusants. Ils sont superbement connectés, constamment mis à jour et offrent une excellente expérience utilisateur, mais ce sont des voitures, pas des téléphones portables. Assaf Harlel
Pour les professionnels de la cybersécurité, une telle exécution de code à distance ou le vol de clés d’application est un phénomène quotidien, mais j’espère que nous ne devenons pas si insensibles à la violation des divulgations que nous manquons l’occasion d’utiliser cela comme un moment d’enseignement pour éduquer les parties prenantes grâce à l’écosystème de la voiture connectée.
Ce compromis c’est une question d’hygiène de cybersécurité et, franchement, une erreur qui ne devrait pas se produire. Le logiciel tiers en question était peut-être un enregistreur de données auto-hébergé, car Tesla a soudainement déprécié des milliers de jetons d’authentification le lendemain du jour où Colombo a publié son fil Twitter et les a notifiés. Certains autres utilisateurs de Twitter ont soutenu cette idée, notant que la configuration par défaut de l’application laissait ouverte la possibilité à quiconque d’accéder à distance au véhicule. Cela fait également suite au tweet initial de Colombo qui affirmait que la vulnérabilité était « la faute des propriétaires, pas de Tesla ».
Les récentes normes de cybersécurité automobile SAE / ISO-21434 et le règlement 155 de l’ONU obligent les constructeurs automobiles (ou équipementiers) à effectuer une analyse des menaces et une évaluation des risques (TARA) sur l’ensemble de l’architecture de leur véhicule. Ces réglementations ont rendu les équipementiers responsables des risques et des expositions informatiques. Le dollar s’arrête là.
Il est quelque peu gênant qu’un OEM sophistiqué comme Tesla ait supervisé le risque d’ouvrir ses API à des applications tierces. Les applications de mauvaise qualité peuvent ne pas être bien protégées, ce qui permet aux pirates d’exploiter leurs faiblesses et d’utiliser l’application comme un pont vers la voiture, comme cela semblait être le cas ici. L’intégrité des applications tierces incombe aux constructeurs automobiles – il leur incombe de vérifier ces applications ou au moins de bloquer l’interface de leur API avec des fournisseurs d’applications tiers non certifiés.
Oui, les consommateurs ont la responsabilité de s’assurer qu’ils téléchargent et mettent à jour fréquemment des applications à partir de magasins d’applications approuvés ou inspectés par leurs OEM, mais une partie de la responsabilité de l’OEM consiste à identifier ces risques dans le processus TARA et à bloquer l’accès des utilisateurs non autorisés. leurs véhicules.
Chez Karamba Security, nous avons mené quelques dizaines de projets TARA en 2021 et avons trouvé une grande variété de préparation à la sécurité OEM. Cependant, ils attachent tous la plus grande importance à identifier le plus de risques possible et à les gérer en amont de la production afin de préserver la sécurité des clients et de se conformer aux nouvelles normes et réglementations.
Voici les meilleures pratiques que nous recommandons aux OEM :
- Protéger les secrets/certificats : cela garantit une longue liste d’attaques dépendantes de quelqu’un ou de quelque chose d’autre qui ne parvient pas à se faire passer pour (remplacement de micrologiciel, usurpation d’informations d’identification, etc.).
- Accès au segment et fonctionnalité (d’une manière transparente pour l’utilisateur) : même si un point tombe en panne, les dommages sont limités.
- Mettez-vous au défi (ou définissez un calendrier de primes pour les autres) en continu et corrigez tout ce que vous trouvez rapidement.
- Protégez-vous des attaques d’exécution de code à distance en renforçant vos systèmes connectés en externe, tels que l’infodivertissement, la télématique et les chargeurs embarqués.
- Fermez vos API. Ne laissez pas les personnes non autorisées les utiliser. Une telle pratique aurait épargné la récente attaque.
Notre conseil aux consommateurs est d’éviter strictement de télécharger des applications qui ne résident pas dans la boutique OEM. Aussi tentant que cela puisse paraître, de telles applications peuvent exposer le conducteur et les passagers à des risques extrêmes en matière de cybersécurité et de confidentialité.
Les véhicules électriques sont amusants. Ils sont superbement connectés, constamment mis à jour et offrent une excellente expérience utilisateur, mais ce sont des voitures, pas des téléphones portables. Le piratage dans les véhicules met en danger la sécurité et la vie privée du conducteur.
