L’équipe de hackers français de Synacktiv, expert en cybersécurité offensive, a remporté la compétition Pwn2Own 2024 de Tokyo organisée lors du salon mondial de l’automobile. Ce concours de piratage vise à sensibiliser le secteur automobile à la nécessité de renforcer la sécurité des véhicules connectés. Au Japon, l’équipe française a une nouvelle fois prouvé ses compétences en prenant le contrôle à distance de plusieurs fonctionnalités d’une Tesla. À la clé, 450 000 dollars de récompenses ! Explications avec David Berard, expert en cybersécurité.
Fondée en 2012 par deux experts en cybersécurité, Synacktiv est considérée comme l’une des meilleures entreprises au monde en matière de cybersécurité offensive. Elle participe à des projets sensibles de renommée mondiale. Elle développe de nombreux outils de sécurité offensifs dans le cadre de ses activités. David Berard est expert sécurité spécialisé dans la rétro-ingénierie de systèmes embarqués et mobiles.
Technique de l’ingénieur : Pourquoi ce concours est-il très important ?
David Berard : Nous participons à Pwn2Own avant tout pour le défi technique qu’il nous offre. Cela nous donne aussi l’opportunité de nous mesurer à d’autres professionnels du domaine. Les phases de préparation du concours, souvent longues, sont des moments enrichissants de travail en équipe.
Les détails techniques complets des attaques sont généralement partagés par la suite lors de conférences internationales renommées.
Les véhicules modernes ne sont-ils pas du pain béni pour les pirates ?
Les véhicules modernes, qu’ils soient électriques ou thermiques, sont du fait de leur complexité des cibles de choix. Ils sont connectés à divers protocoles. Sur la Tesla, il y a notamment le Bluetooth, le wifi, le réseau GSM en permanence et la radio numérique. Ce sont autant de points d’accès qui peuvent être attaqués à distance. Nous travaillons principalement sur la Tesla sur laquelle il y a plusieurs niveaux sécuritaires. Cette année, nous avons réussi à traverser un premier niveau qui offre un accès à différentes fonctions comme l’ouverture des portes ou du coffre, le changement de l’affichage sur l’écran… Mais pour agir sur les freins par exemple, il est nécessaire de franchir un second barrage. Cette année, nous n’avons pas pu le franchir comme nous l’avions fait en 2023 et avoir ainsi un accès complet à tous les équipements de la voiture. Lors de l’édition de Vancouver il y a un an, notre équipe avait réussi à compromettre la Tesla Model 3. Depuis, cette faille a été corrigée par le constructeur.
Est-ce que certaines marques de constructeurs sont plus vulnérables que d’autres ?
Pour nous, la Tesla est l’un des véhicules les moins vulnérables, car la marque investit beaucoup dans la sécurité. C’est la raison pour laquelle elle participe à ce genre de concours. Elle attend que des chercheurs découvrent des vulnérabilités pour ensuite les corriger rapidement. D’autres constructeurs ne souhaitent pas y participer pour ne pas soumettre leurs modèles électriques ou thermiques, qui sont aussi très connectés, à de réelles attaques. Seule une poignée de marques acceptent de participer à ce type de concours publiquement. D’autres constructeurs participent également à des programmes privés de bug bounty, c’est-à-dire que seuls les hackers invités peuvent y participer.
Si, dans quelques années, il n’y a plus qu’un seul système d’exploitation pour les voitures, ce sera encore plus facile pour les pirates qui ne devront pas tester leurs techniques sur différents environnements ?
Nous pensons au contraire que la diversité favoriserait les attaques ; peu de chercheurs pourraient en effet consacrer beaucoup de temps à rechercher des vulnérabilités sur différents environnements. C’est ce que nous voyons avec les iPhone qui sont réputés très sécurisés, car Apple se concentre sur un seul OS (Operating system) commun à tous ses modèles. Cette option permet de mettre à jour de façon régulière tous les appareils, même un peu anciens. C’est la même méthode appliquée par Tesla. En fait, le système de Tesla commence à devenir le standard en étant très avancé et très complexe à attaquer. Et même lorsqu’on réussit une action malveillante, il est très difficile de l’exploiter, car il y a de multiples barrières à franchir.
Lors de ce concours, vous avez présenté des démonstrations de hacking inédites visant les chargeurs de véhicules électriques, les autoradios intelligents… Vous donnez des idées à des maris jaloux ?
Lors du concours, les attaques ne prennent que quelques secondes à être exécutées, mais elles exigent un gros travail de préparation en amont de plusieurs mois. Un mari jaloux qui voudrait saboter ou modifier la voiture de sa femme ne pourrait pas le faire sauf s’il a de solides compétences et qu’il a du temps libre.
Quelles sont selon vous les principales menaces dans les prochaines années ?
Je pense qu’il s’agit de tout ce qui concerne l’administration à distance (voir encadré ci-dessous), que ce soit sur les machines, mais aussi les véhicules. À l’autre bout de la planète, nous pouvons contrôler certaines fonctionnalités ! Concernant les serveurs, nous ne connaissons pas les niveaux de sécurité de Tesla, car elle communique très peu sur ce point. Selon nous, des attaques pourraient réussir via les serveurs. Nous pouvons imaginer de contrôler une flotte de voitures à travers les serveurs de cette marque ou d’un autre constructeur.
Anydesk, un éditeur très connu et très utilisé par 170 000 entreprises, a été victime d’une attaque informatique le 2 février. Si de nombreux cas de piratage sont révélés tous les jours, celui-ci est d’autant plus inquiétant, car ses logiciels permettent de prendre le contrôle à distance d’un ordinateur. Cette solution est notamment utilisée par des prestataires informatiques pour réaliser des mises à jour ou de la maintenance de parc d’ordinateurs dans les entreprises.
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE