En juillet 2017, alors que démarre la commercialisation de la Tesla Model 3, Elon Musk faisait part de ses craintes concernant un piratage de ses véhicules à l’échelle de la flotte. Éviter ce type d’intrusion était une priorité absolue selon le PDG. Et pour cause : quelques mois auparavant, ce scénario dramatique aurait réellement pu se concrétiser.
Un américain du nom de Jason Hughes, alias WK057 sur les forums et réseaux sociaux, est particulièrement célèbre dans la communauté des usagers de Tesla. Il fut l’un des premiers membres du groupe « accès root », composé de personnes qui s’amusent à pirater leur propre Tesla pour en débloquer certaines fonctionnalités et avoir davantage de contrôle sur leur véhicule. Cet homme a découvert à l’époque une vulnérabilité qui lui aurait permis d’avoir le contrôle absolu de toute la flotte !
Un accès direct au serveur qui communique avec la flotte
Les faits se sont déroulés en 2017. Passionné d’informatique et d’électronique, Hughes a commencé à récupérer des Tesla pour construire des systèmes de stockage d’énergie hors réseau ou des kits de conversion électrique. Son hobby s’est rapidement transformé en activité professionnelle : il a alors créé une boutique en ligne pour commercialiser des pièces de Tesla et ses propres contrôleurs, à destination de passionnés, comme lui. En parallèle, il signalait régulièrement aux usagers la moindre vulnérabilité qu’il détectait sur le système du constructeur.
Tesla, comme bon nombre d’entreprises de l’IT, dispose d’une plateforme de rapport de bogues où tout un chacun est invité à signaler des failles de sécurité. Hugues contribuait donc de temps à autre à améliorer le système en remontant des bogues de cette manière.
Lorsque le constructeur a offert à ses utilisateurs un accès plus large aux données concernant les Superchargers (les stations de recharge), notamment la possibilité de visualiser le nombre de chargeurs encore disponibles à chaque station, Hughes a entrepris de s’introduire dans cette brèche pour voir quelles informations supplémentaires il pourrait en tirer…
Il se trouve qu’une faille de sécurité côté serveur lui a permis d’obtenir régulièrement les données de chaque Supercharger dans le monde, à une fréquence de quelques minutes seulement. Des données qu’il s’est empressé de partager sur le forum Tesla Motors Club, ce qui a fortement déplu au constructeur. Après une conversation avec des responsables de chez Tesla, Hughes a cessé de partager les données avec la communauté et a reçu une récompense de 5000 $ pour avoir signalé cette vulnérabilité.
Motivé par cette « prime », le hacker a décidé de pousser plus avant ses investigations dans l’espoir de dénicher d’autres failles. C’est à ce moment-là qu’il parvient à se faufiler jusqu’à Mothership, le serveur utilisé par le constructeur pour communiquer avec toute sa flotte de clients. Tout type de commandes à distance ou d’informations de diagnostic de la voiture transite par ce serveur.
Hughes a ainsi utilisé la connexion VPN de sa voiture Tesla pour atteindre Mothership. C’est alors qu’il a trouvé un bogue (ou plutôt une série de bogues) dans le serveur, qui lui a permis de s’authentifier comme s’il provenait de n’importe quelle voiture de la flotte. Tout ce dont il avait besoin était le numéro d’identification d’un véhicule ; or, il disposait justement d’un accès à la base de l’ensemble des véhicules existants ! À ce moment-là, Hughes était capable d’obtenir des informations sur n’importe quelle voiture de la flotte et même de lui envoyer des instructions !
Des récompenses pour déceler les vulnérabilités
Bien conscient de ce qu’il avait entre les mains, Hughes a finalement décidé de rédiger un rapport complet des bogues qu’il avait découverts et d’en informer Aaron Sigel, le responsable de la sécurité logicielle de Tesla à l’époque, avec qui il était en contact.
Fort heureusement, les capacités de conduite autonome de ces véhicules étaient beaucoup plus limitées à l’époque qu’elles ne le sont aujourd’hui. De ce fait, Hughes n’avait alors pas réellement la possibilité de diriger les voitures de la flotte comme bon lui semblait, comme on pourrait l’imaginer. Il avait toutefois la possibilité de les « invoquer ». Comment ? Via la fonctionnalité Summon, intégrée aux Tesla en 2016, qui permet de faire bouger son véhicule à distance sans personne à l’intérieur, sur quelques dizaines de mètres. La fonction a été principalement conçue pour faire entrer et sortir les véhicules de leur garage ou place de stationnement.
Après avoir fait une démonstration de ce dont il était capable à Sigel, en convoquant une Tesla relativement proche de lui, Hugues a cette fois-ci empoché une récompense de 50’000 $ pour ce rapport de bogues ! Cet homme a finalement rendu un grand service au constructeur, qui a immédiatement sécurisé son réseau avant que des personnes mal intentionnées ne s’y introduisent de la même façon. Le bogue principal a été corrigé en quelques heures, et il a fallu plusieurs jours pour corriger toute la chaîne de bogues qui pouvait mener au contrôle de la flotte entière.
Sur le même sujet : Un piratage informatique d’une usine Tesla déjoué par le FBI
Depuis, le constructeur a redoublé d’efforts pour sécuriser son réseau. Il a d’ailleurs augmenté le montant maximal des récompenses pour signalement de bogue : les plus critiques peuvent atteindre les 15’000 $ ! Tesla a également recruté de nouveaux talents : « Nous avons continuellement augmenté nos investissements dans des partenariats avec des chercheurs en sécurité pour nous assurer que tous les propriétaires de Tesla bénéficient en permanence des esprits les plus brillants de la communauté », a déclaré David Lau, vice-président et ingénieur logiciel chez Tesla.
À noter que l’an dernier, la Tesla Model 3 a même fait partie des cibles du Pwn2Own, un célèbre concours annuel où des spécialistes en sécurité informatique tentent de s’introduire dans divers systèmes réputés sécurisés ; le premier à y parvenir remporte la cible en question. Des initiatives comme celles-ci sont essentielles pour le constructeur automobile, dont les véhicules autonomes deviendront au fil du temps des cibles de plus en plus prisées des hackers malveillants, à l’instar de n’importe quel autre objet connecté.
Que les propriétaires de Tesla se rassurent : l’authentification à deux facteurs est prévue, et c’est pour très bientôt. Si son déploiement a pris un peu de retard (un an…), Elon Musk a confirmé dans un tweet daté du 14 août que la fonctionnalité était actuellement en phase de validation finale.