Dans un récent billet de blog, des chercheurs du NCC Group ont démontré comment les clés électroniques des Tesla Model 3 et Y pouvaient être piratées à distance. Cette faille pourrait permettre à des hackers de déverrouiller votre véhicule.

Les chercheurs du NCC Group ont développé un logiciel capable de déverrouiller une Tesla

D'après les chercheurs en cybersécurité, la vulnérabilité réside dans le Bluetooth Low Energy (BLE), la technologie utilisée par le système de déverrouillage électronique de Tesla. Ce dernier permet aux propriétaires de déverrouiller leur véhicule grâce à Bluetooth. Ces dispositifs sont normalement conçus pour se protéger contre une série d'attaques. Pourtant, les chercheurs du NCC Group, dont les bureaux sont basés au Royaume-Uni, affirment avoir mis au point un outil permettant de mener un nouveau type d'attaque, qui contourne les mesures de protection existantes.

L'un des chercheurs, Sultan Qasim Khan, consultant senior en sécurité chez NCC Group, a déclaré avoir testé ce système contre une Tesla Model 3 de 2020 en utilisant un iPhone 13 mini exécutant une version récente mais plus ancienne de l'application Tesla. L'iPhone était placé à 25 mètres du véhicule. L'expérience a également été concluante sur une Tesla Model Y de 2021, qui utilise également la technologie « phone-as-a-key ». L'exemple de Tesla est loin d'être isolé. Tous les véhicules utilisant cette technologie sont concernés.

De nombreux produits qui utilisent le Bluetooth sont vulnérables

Les chercheurs expliquent qu'ils peuvent « convaincre un récepteur Bluetooth que nous sommes proches de lui, même à des centaines de kilomètres. Tout cela ne prend que 10 secondes et ces exploits peuvent être répétés à l’infini ». Ils précisent que de nombreux produits sont en réalité vulnérables : les véhicules avec déverrouillage électronique, les ordinateurs portables avec déverrouillage Bluetooth, les smartphones, les serrures intelligentes, les systèmes de contrôle d’accès aux bâtiments, ou même le suivi des patients médicaux...

Pour tenter de minimiser les risques, ils livrent quelques pistes intéressantes. Il est notamment utile de désactiver la fonctionnalité de déverrouillage passif et le Bluetooth sur les appareils mobiles. Les fabricants ont également un rôle à jouer : ils peuvent réduire les risques en désactivant la fonctionnalité de clé de proximité lorsque le smartphone est resté immobile pendant un certain temps. Les chercheurs encouragent également les propriétaires de Tesla à utiliser la fonction « PIN to Drive », qui nécessite la saisie d'un code à quatre chiffres avant de pouvoir démarrer le véhicule.