Des hackers réussissent à voler des Tesla grâce à une attaque de phishing

Des chercheurs ont démontré comment pirater des comptes Tesla pour ensuite décrypter et faire démarrer les voitures. Dans ce but, ils ont lancé une attaque de phishing (hameçonnage) selon le principe Man-in-the-Middle.

La faille de sécurité, selon les chercheurs Talal Haj Bakry et Tommy Mysk qui se sont confiés à Tesla, réside dans la façon dont un nouveau smartphone est lié à une voiture. Les chercheurs ont mis en place un faux réseau wifi et ont réussi à inciter les propriétaires de voitures Tesla à se connecter à une fausse page de login. Une fois qu’ils ont accès au compte, ils peuvent voir l’emplacement de la voiture en temps réel et – s’ils en sont à proximité – créer une nouvelle Phone Key (clé de téléphone numérique). Cela leur permet alors de déverrouiller la voiture via Bluetooth et de repartir avec elle.

Les pirates soulignent que le propriétaire ne reçoit aucune notification indiquant qu’une nouvelle Phone Key a été créée, et qu’ils ont pu effectuer toute la procédure sans que la voiture en question ne soit déverrouillée ou que le smartphone ne se trouve dans le véhicule. Ils suggèrent que l’utilisation de la carte-clé physique Tesla dans le processus d’enregistrement offrirait une sécurité supplémentaire.

Bakry et Mysk ont ​​utilisé un Flipper Zero pour leurs recherches, mais font observer que l’attaque peut tout aussi bien être lancée depuis un ordinateur, un téléphone Android ou un Raspberry Pi.