Et des systèmes d’infodivertissement
Les vulnérabilités des véhicules Tesla permettent aux chercheurs en sécurité de s’en mettre plein les poches lors du concours de piratage Pwn2Own Automotive. Pendant la première journée mercredi, les chercheurs ont gagné plus de 700 000 dollars en piratant une Tesla, des chargeurs de véhicule électriques et plusieurs systèmes d’infodivertissement. La plus grosse récompense est allée à l’équipe Synacktiv, qui a gagné 100 000 dollars pour avoir piraté le véhicule de Tesla. La même équipe a gagné 195 000 dollars supplémentaires pour des exploits visant les stations de recharge Ubiquiti Connect, ChargePoint Home Flex, JuiceBox 40 et Autel MaxiCharger EV.
La Zero Day Initiative (ZDI) de Trend Micro, organisatrice de l’événement qui se déroule du 24 au 26 janvier parallèlement à la conférence Automotive World à Tokyo, au Japon, a déclaré avoir attribué un total de 722 500 dollars pour 24 exploits uniques au cours de la première journée. Cette première journée a été couronnée de succès pour le groupe de chercheurs en cybersécurité Synacktiv. Synacktiv est une société de sécurité française et un nom familier dans le monde de l’événement Pwn2Own, puisque le groupe a déjà réalisé quelques exploits lors des précédentes éditions du concours.
L’année dernière, l’équipe a réussi à pirater une Tesla Model 3 en exécutant une attaque Time of Check to Time of Use (TOCTOU) contre la Tesla Energy Gateway. Ce type de vulnérabilité en matière de cybersécurité se produit lorsqu’un attaquant exploite la petite fenêtre temporelle entre le contrôle et l’utilisation d’une ressource, permettant ainsi un accès non autorisé ou une modification de la ressource pendant cette brève période. Il est important de noter que la deuxième année consécutive que Synacktiv réussit à exploiter une Tesla Model 3 lors de l’événement Pwn2Own.
L’exploit de l’année dernière lui a valu 100 000 dollars et le véhicule en guise de prix. L’année précédente, le groupe a réussi à exploiter le système d’infodivertissement du véhicule, mais la complexité du piratage n’a pas été suffisante pour remporter la voiture. Le groupe a démontré à plusieurs reprises ces dernières années que malgré leur popularité, les véhicules Tesla sont notoirement piratables, ce qui a permis de mettre en lumière la faiblesse de la sécurité des véhicules dans un monde connecté. Cette année encore, l’équipe Synacktiv a fait sensation avec plusieurs piratages réussis.
Mercredi, Synacktiv a mis en évidence des faiblesses dans le véhicule Tesla. L’équipe Synacktiv a remporté 100 000 $ pour avoir découvert et réussi à utiliser trois bogues “zero-day” pour obtenir les permissions de niveau root sur une voiture Tesla. Ils ont également utilisé deux chaînes uniques de deux bogues pour pirater une Ubiquiti Connect EV Station et une JuiceBox 40 Smart EV Charging Station, ce qui leur a permis de gagner 120 000 dollars de plus. Une troisième chaîne d’exploitation ciblant le chargeur ChargePoint Home Flex EV était déjà connue, mais leur a tout de même rapporté 16 000 dollars en espèces.
Le groupe Synacktiv a ainsi gagné un total de 295 000 dollars de prix au cours de la seule première journée du concours. (Tesla est un sponsor du concours). Les chercheurs en sécurité ont aussi réussi à pirater plusieurs stations de recharge de véhicules électriques et systèmes d’infodivertissement entièrement corrigés. L’équipe EDG du NCC Group a pris la deuxième place du classement après avoir remporté 70 000 dollars pour avoir exploité des bogues de type “zero-day” pour pirater le système d’infodivertissement Pioneer DMH-WT7600NEX et le chargeur de véhicules électriques Phoenix Contact CHARX SEC-3100.
Dans la catégorie des systèmes d’exploitation, Rob Blakely de Cromulence a gagné 47 500 dollars pour un exploit Automotive Grade Linux. Le montant aurait pu être plus élevé, mais l’une des vulnérabilités qu’il a exploitées était déjà connue. Des récompenses de 40 000 dollars chacune ont été obtenues pour les exploits Alpine Halo9 iLX-F509, Pioneer DMH-WT7600NEX et Sony XAV-AX5500 dans la catégorie des systèmes d’infodivertissement. Par ailleurs, quatre autres piratages de systèmes d’infodivertissement ont permis aux participants de Pwn2Own Automotive de gagner 20 000 dollars chacun.
Plusieurs exploits de ChargePoint impliquant des failles déjà connues ont rapporté 16 000 dollars chacun aux participants. La majorité des tentatives de piratage prévues pour les deux jours restants de Pwn2Own viseront les chargeurs et les systèmes d’infodivertissement, mais il y aura une autre tentative de piratage d’une Tesla, en particulier de son système d’infodivertissement, avec un exploit qui implique une évasion du bac à sable. Pour rappel, l’évasion d’un bac à sable fait référence à l’exploitation d’une vulnérabilité logicielle pour sortir d’un environnement sécurisé ou en quarantaine, souvent appelé bac à sable.
Un attaquant peut utiliser une évasion de bac à sable pour exécuter un code malveillant sur le système hôte, accéder à des données sensibles ou causer d’autres types de dommages. Synacktiv prévoit de participer à ce challenge dans l’espoir d’identifier les lacunes des systèmes de sécurité de Tesla afin de rendre ses protections plus robustes à l’avenir. L’équipe espère avoir accès aux systèmes des Model 3, Model Y, Model S et Model X basés sur Ryzen, mais Tesla n’est pas la seule entreprise à faire l’objet de tentatives de piratage. Ils utiliseront des exploits de type “zero-day” pour infiltrer ces systèmes.
Dans la communauté, les nombreuses vulnérabilités des véhicules électriques de Tesla continuent d’inquiéter de plus en plus de personnes. « Le logiciel de Tesla a une surface d’attaque tellement grande par rapport aux constructeurs traditionnels où la plupart des sous-systèmes sont effectivement protégés par des bouchons d’air. C’est leur avantage lorsqu’il s’agit de coordonner l’expérience de l’utilisateur, mais cela pourrait devenir un problème à mesure que la taille de la flotte augmente et qu’elle devient une cible plus précieuse pour les pirates informatiques », peut-on lire dans les commentaires.
Il s’agit de la première édition de Pwn2Own axée sur l’automobile. Une fois les bogues exploités et signalés lors du concours Pwn2Own, les fournisseurs ont 90 jours pour développer et publier des correctifs de sécurité avant que l’initiative Zero Day de Trend Micro ne les divulgue publiquement. Lors du concours Pwn2Own Vancouver 2023 en mars, des chercheurs en sécurité ont gagné 1 035 000 dollars et une voiture Tesla Model 3 après avoir fait la démonstration de 27 vulnérabilités zero-day (et de plusieurs collisions de bogues).
source : developpez