Comme promis, le constructeur américain Tesla a récompensé deux hackers qui sont parvenus à déjouer la sécurité de sa Model 3 lors du concours annuel Pwn2Own qui s’est déroulé du 20 au 22 mars à Vancouver. Les deux pirates ont réussi à afficher un message sur le navigateur d’info-divertissement du véhicule. Ils sont repartis au volant de la voiture et ont empoché au total 375 000 euros de prix.
They did it. A successful demonstration by the @fluoroacetate duo on the Model 3 internet browser. Now off to the disclosure room for details and confirmation. pic.twitter.com/GrbZYUvYQa
— Zero Day Initiative (@thezdi) March 22, 2019
Une faille dans le système d’info-divertissement
Les deux hackers ont piraté la Model 3 en ciblant son système d’info-divertissement. Quelques minutes après être entrés dans le véhicule, ils ont réussi à accéder au navigateur Internet. Ils ont alors affiché un message en exploitant un bug JIT (Just In Time) dans le moteur de rendu.
La firme d’Elon Musk a tenu à rassurer ses clients après ce piratage. « Il y a plusieurs niveaux de sécurité à l’intérieur de nos voitures qui ont fonctionné comme prévu et qui ont réussi à contenir la démonstration au seul navigateur, tout en protégeant toutes les autres fonctionnalités du véhicule. »
Tesla annonce une mise à jour
Elle a annoncé une mise à jour du logiciel « dans les prochains jours » pour corriger ce bug. « Nous comprenons que cette démonstration a demandé un effort et des compétences extraordinaires, et nous remercions ces chercheurs pour leur travail qui nous a permis de nous assurer que nos voitures sont les plus sécuritaires sur la route aujourd’hui ».
Au total, 545 000 dollars soit 481 000 euros ont été distribués lors de cette édition 2019 du concours Pwn2Own. Les participants ont mis au jour 19 bugs uniques dans Apple Safari, Microsoft Edge et Windows, VMware Workstation, Mozilla Firefox et Tesla.