Le buzz autour du hacker Tesla de 19 ans, David Colombo, est bien mérité. Une faille dans un logiciel tiers lui a permis d’accéder à distance à 25 des véhicules des plus grands fabricants de véhicules électriques au monde dans 13 pays. Le pirate informatique a partagé qu’il était capable de déverrouiller les portes à distance, d’ouvrir les fenêtres, de diffuser de la musique et de démarrer chaque véhicule.
Les vulnérabilités qu’il a exploitées ne se trouvent pas dans le logiciel de Tesla, mais dans une application tierce, il y a donc des limites à ce que Colombo pourrait accomplir ; il ne pouvait rien faire pour diriger ou accélérer ou ralentir. Mais il a pu ouvrir les portes, klaxonner, contrôler les lampes de poche et recueillir des données privées sur les véhicules piratés.
Les véhicules électriques sont amusants. Ils sont superbement connectés, constamment mis à jour et offrent une excellente expérience utilisateur, mais ce sont des voitures, pas des téléphones portables. Assaf Harrel
Pour les professionnels de la cybersécurité, une telle exécution de code à distance ou le vol de clés d’application est un phénomène quotidien, mais j’espère que nous ne deviendrons pas si insensibles aux divulgations que nous manquerons l’occasion d’utiliser celui-ci comme un moment d’apprentissage pour éduquer les parties prenantes à travers le écosystème de voitures connectées.
Ce compromis est un problème d’hygiène de cybersécurité 101, et franchement, une erreur qui ne devrait pas se produire. Le logiciel tiers en question était peut-être un enregistreur de données auto-hébergé, car Tesla a soudainement déprécié des milliers de jetons d’authentification le lendemain du jour où Colombo a publié son fil Twitter et les a notifiés. Certains autres utilisateurs de Twitter ont soutenu cette idée, notant que la configuration par défaut de l’application laissait ouverte la possibilité à quiconque d’accéder à distance au véhicule. Cela correspond également au tweet initial de Colombo affirmant que la vulnérabilité était « la faute des propriétaires, pas de Tesla ».
Les récentes normes de cybersécurité automobile SAE/ISO-21434 et le règlement 155 de l’ONU obligent les constructeurs automobiles (c’est-à-dire les équipementiers) à effectuer une analyse des menaces et une évaluation des risques (TARA) sur l’ensemble de leur architecture de véhicule. Ces réglementations ont rendu les équipementiers responsables des cyber-risques et des expositions. La responsabilité s’arrête là.
Il est quelque peu gênant qu’un OEM sophistiqué tel que Tesla ait supervisé le risque d’ouvrir ses API à des applications tierces. Les applications de mauvaise qualité peuvent ne pas être bien protégées, ce qui permet aux pirates d’exploiter leurs faiblesses et d’utiliser l’application comme un pont vers la voiture, comme le cas semblait être ici. L’intégrité des applications tierces incombe aux constructeurs automobiles : il leur incombe de filtrer ces applications, ou du moins de bloquer l’interface de leurs API avec les fournisseurs d’applications tiers non certifiés.
Oui, les consommateurs ont une certaine responsabilité pour s’assurer qu’ils téléchargent et mettent à jour fréquemment des applications à partir de magasins d’applications qui sont approuvés ou inspectés par leurs OEM, mais une partie de la responsabilité des OEM consiste à identifier ces risques dans son processus TARA et à bloquer l’accès des personnes non autorisées. applications à leurs véhicules.
Chez Karamba Security, nous avons mené quelques dizaines de projets TARA en 2021 et avons constaté une grande variété dans la préparation à la sécurité des équipementiers. Pourtant, tous accordent la plus grande importance à l’identification du plus grand nombre de risques et à leur traitement en amont de la production, afin de préserver la sécurité des clients et de se conformer aux nouvelles normes et réglementations.
Voici les meilleures pratiques que nous recommandons aux OEM :
- Sécurisez les secrets/certificats – cela garantit une longue liste d’attaques dépendant de la réussite de l’usurpation d’identité de quelqu’un ou de l’échec de quelque chose d’autre (remplacement du micrologiciel, usurpation d’informations d’identification, etc.).
- Accès au segment et fonctionnalité (de manière transparente pour l’utilisateur) – même si un point échoue, les dommages sont limités.
- Testez-vous (ou mettez en place un programme de primes pour que les autres le fassent) en continu – et corrigez rapidement tout ce que vous trouvez.
- Protégez-vous contre les attaques d’exécution de code à distance en renforçant vos systèmes connectés en externe, tels que l’infodivertissement, la télématique et le chargeur embarqué.
- Fermez vos API. Ne permettez pas à des tiers non autorisés de les utiliser. Une telle pratique aurait épargné la récente attaque.
Notre conseil aux consommateurs est d’éviter strictement de télécharger des applications qui ne résident pas sur le magasin de l’OEM. Aussi tentantes que cela puisse paraître, ces applications peuvent exposer le conducteur et les passagers à des risques extrêmes en matière de cybersécurité et de confidentialité.
Les véhicules électriques sont amusants. Ils sont superbement connectés, constamment mis à jour et offrent une excellente expérience utilisateur, mais ce sont des voitures, pas des téléphones portables. Le piratage des véhicules met en danger la sécurité et la vie privée des conducteurs.