Une attaque de phishing facile à l’aide d’un appareil Flipper Zero peut compromettre les comptes Tesla, déverrouiller les voitures et les démarrer. L’attaque fonctionne sur la dernière application Tesla, la version 4.30.6, et la version du logiciel Tesla 11.1 2024.2.7.

Les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk ont rapporté leur découverte à Tesla en disant que lier une voiture à un nouveau téléphone manque de sécurité d’authentification appropriée. Le constructeur automobile a déterminé que le rapport était hors de portée.

Attaque de phishing
Un attaquant dans une station de suralimentation Tesla pourrait déployer un réseau WiFi appelé « Tesla Guest », un SSID que l’on trouve couramment dans les centres de service Tesla et que les propriétaires de voitures connaissent bien.

Mysk a utilisé un Flipper Zero pour diffuser le réseau WiFi, mais note que la même chose peut être accomplie en utilisant un Raspberry Pi ou d’autres appareils dotés de capacités de point d’accès WiFi.

Une fois que la victime se connecte au réseau usurpé, elle reçoit une fausse page de connexion Tesla lui demandant de se connecter en utilisant ses identifiants de compte Tesla. Quoi que la victime entre sur la page de phishing, l’attaquant peut voir sur le Flipper Zéro en temps réel.

Le processus d’hameçonnage

Après avoir entré les informations d’identification du compte Tesla, la page de phishing demande le mot de passe à usage unique pour le compte, afin d’aider l’attaquant à contourner la protection d’authentification à deux facteurs.

L’attaquant doit se déplacer avant l’expiration de l’OTP et se connecter à l’application Tesla en utilisant les informations d’identification volées. Une fois dans le compte, l’auteur de la menace peut suivre l’emplacement du véhicule en temps réel.

Ajout d’une nouvelle clé
L’accès au compte Tesla de la victime permet à l’attaquant d’ajouter une nouvelle clé de téléphone. »Pour cela, ils doivent être à proximité de la voiture, à quelques mètres seulement.

Les clés du téléphone utilisent l’application mobile de Tesla en conjonction avec le smartphone du propriétaire de la voiture pour permettre le verrouillage et le déverrouillage automatiques du véhicule, via une connexion Bluetooth sécurisée.

Les voitures Tesla utilisent également des clés de carte, qui sont des cartes RFID minces qui doivent être placées sur le lecteur RFID de la console centrale pour démarrer le véhicule. Bien que plus sécurisées, Tesla les traite comme une option de sauvegarde si la clé du téléphone n’est pas disponible ou si la batterie est déchargée.

Mysk dit que l’ajout d’une nouvelle clé de téléphone via l’application ne nécessite pas que la voiture soit déverrouillée ou que le smartphone soit à l’intérieur du véhicule, ce qui crée une lacune de sécurité importante.

Ajout d’une nouvelle clé de téléphone

Pour aggraver les choses, une fois qu’une nouvelle clé de téléphone est ajoutée, le propriétaire de Tesla ne reçoit pas de notification à ce sujet via l’application, et aucune alerte n’est affichée sur l’écran tactile de la voiture.

Avec la nouvelle clé de téléphone, l’attaquant peut déverrouiller la voiture et activer tous ses systèmes, lui permettant de partir comme s’il en était le propriétaire.

Mysk note que l’attaque est réussie sur une Tesla Model 3. Dans le rapport au constructeur automobile, le chercheur note que le compte Tesla détourné doit appartenir au conducteur principal et que le véhicule doit déjà être lié à une clé de téléphone.

Les chercheurs affirment que l’exigence d’une clé de carte Tesla physique lors de l’ajout d’une nouvelle clé de téléphone améliorerait la sécurité en ajoutant une couche d’authentification pour le nouveau téléphone.

« J’ai pu ajouter une deuxième clé de téléphone sur un nouvel iPhone sans que l’application Tesla ne m’invite à utiliser une carte-clé pour authentifier la session sur le nouvel iPhone. Je me suis connecté uniquement sur le nouvel iPhone avec mon nom d’utilisateur et mon mot de passe, et dès que j’ai accordé à l’application l’accès aux services de localisation, elle a activé la clé du téléphone », ont écrit Tommy Mysk et Talal Haj Bakry dans le rapport à Tesla.

La société a répondu en disant que son enquête avait déterminé que c’était le comportement prévu et que le manuel du propriétaire de la Tesla Model 3 n’indiquait pas qu’une carte-clé était nécessaire pour ajouter une clé de téléphone.

Breachtrace a contacté Tesla pour lui poser des questions sur ce qui précède et pour savoir s’il envisageait de publier une mise à jour OTA introduisant des mesures de sécurité pour empêcher ces attaques, mais nous n’avons pas encore eu de nouvelles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *