Un chercheur belge trouve une nouvelle faille sécuritaire dans la clé sans contact de Tesla
Des chercheurs de la KU Leuven sont de nouveau parvenus à ‘craquer’ une clé cryptographique avec laquelle une Tesla Model S peut être déverrouillée. Tesla sortira une mise à jour logicielle sans fil pour corriger le bug, annonce Wired.
Grâce au système Passive Keyless Entry and Start (PKES), il est possible de déverrouiller la voiture tout en s’approchant du véhicule, clé en poche. Le système est utilisé dans la Tesla Model S et dans quelques autres modèles de luxe.
COSIC, le groupe de chercheurs de la KU Leuven dirigé par Bart Preneel, avait réussi l’année dernière à ‘craquer’ la clé cryptographique de ce système. Ils démontrèrent à l’époque comment ils avaient pu copier la clé, afin de déverrouiller une Tesla Model S. Pektron, le fabricant du système, avait alors décidé de doubler de 40 à 80 bits la longueur de la clé cryptographique. Cela devait normalement rendre le ‘craquage’ de cette dernière un billion de fois plus difficile.
Dans ce cryptage 80 bits, un des chercheurs de COSIC a découvert une erreur de configuration, ce qui l’amena à réduire le problème au ‘craquage’ de deux clés de 40 bits. “La nouvelle clé est meilleure que la première, mais en doublant la puissance de calcul, nous sommes encore et toujours capables de la copier”, déclare Lennert Wouters à Wired.
Le jeune chercheur en a informé Tesla en avril, après quoi l’entreprise lui attribua une récompense (‘bug bounty’) de 5.000 dollars. Tesla ajoute ne pas être au courant d’un quelconque abus par des voleurs de voitures et a entre-temps corrigé le problème. Les propriétaires d’une Tesla Model S ne devront pas remplacer leur clé, car l’entreprise leur enverra une mise à jour logicielle sans fil.
Wouters a révélé sa découverte hier mardi lors de la conférence Cryptographic Hardware and Embedded Systems organisée à Atlanta. Vous pouvez aussi en découvrir les détails techniques dans la présentation ci-après, qu’il avait effectuée plus tôt ce mois-ci à Louvain.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici