Des chercheurs belges alertent sur une faille de sécurité dans le système de clé électronique de la Tesla Model S. Avec un équipement très simple, ils ont pu déverrouiller le véhicule pour repartir au volant. Le problème résiderait dans le faible chiffrement du porte-clés électronique. Tesla assure avoir corrigé la faille.
Sésame ouvre-toi ! Des chercheurs de l’université catholique de Louvain (Belgique) ont réussi à pirater l’ouverture de la Tesla Model S. D’après leur rapport publié le 10 septembre dernier, les scientifiques ont juste cloné la clé sans contact. Cet outil leur a permis de déverrouiller les portes et de faire démarrer le véhicule électrique en quelques instants.
Cryptografen van de #kuleuven-onderzoeksgroep @CosicBe slaagden erin de contactloze sleutel van #Tesla te kraken 👇 https://t.co/QVUkXISpgp
— KU Leuven (@KU_Leuven) September 12, 2018
500 euros de matériel
Le matériel nécessaire semble dérisoire. Les chercheurs se sont servis d’un Raspberry Pi 3 Model B+, d’un kit d’intrusion sans fil Proxmark3, d’un dongle radio Yard Stick One et d’un pack de batterie USB. Il y en a pour moins de 500 euros. Cet équipement permet de déjouer le cryptage utilisé dans les porte-clés sans fil du Tesla Model S.
Les chercheurs ont publié une vidéo YouTube qui montre la procédure. Il suffit de récupérer le signal radio du véhicule, qui contient son identifiant non chiffré. Il s’agit d’une faille bien connue de l’algorithme DST40. Le porte-clés pirate peut ensuite émettre deux codes, pour ouvrir et de démarrer la voiture. L’opération ne dure que 1,6 seconde, rapporte Wired.
Une découverte à 10 000 dollars
Pour réussir ce piratage, les chercheurs ont créé une base de données avec 6 téraoctets de clés précalculées. Ils ont aussi utilisé un porte-clés électronique Pektron pourvu d’un chiffrement de seulement 40 bits. Les chercheurs ont signalé leur découverte à Tesla le 6 avril dernier. Le constructeur leur a remis 10 000 dollars, c’est-à-dire 8 600 euros.
Les chercheurs pensent que le problème s’étend à d’autres modèles d’autres marques. De son côté, Tesla a instauré un nouveau système d’authentification à deux niveaux. La procédure inclut désormais un chiffrement renforcé. Le conducteur peut aussi taper un code PIN à l’intérieur du véhicule. Pour en bénéficier, une mise à jour reste indispensable.
