37 zero-days exploités sur Tesla et autres systèmes automobiles
Le Pwn2Own Automotive 2026, compétition renommée dans le domaine de la sécurité automobile, a débuté cette semaine à Tokyo. Dès le premier jour, des chercheurs en cybersécurité ont réussi à exploiter 37 vulnérabilités zero-day, ciblant notamment le système d’infodivertissement de Tesla. Ces exploits ont permis aux équipes de remporter plus de 516 000 dollars en récompenses.
Comment les systèmes ont été piratés
L’équipe Synacktiv a démontré une chaîne d’exploitation combinant une fuite d’informations et une faille d’écriture hors limites, obtenant ainsi un accès root sur le système d’infodivertissement Tesla via une clé USB. Le même groupe a enchaîné trois vulnérabilités pour exécuter du code au niveau root sur le récepteur multimédia Sony XAV-9500ES, ce qui leur a rapporté un total de 55 000 $ pour ces deux attaques.
D’autres équipes ont ciblé les infrastructures de recharge des véhicules électriques :
- Fuzzware.io : Hacked un Alpitronic HYC50, un chargeur Autel et un GPS Kenwood DNR1007XR, remportant 118 000 $.
- PetoWorks : Accès root sur un Phoenix Contact CHARX SEC-3150, 50 000 $ de gains.
- Team DDOS : Hacks sur ChargePoint Home Flex, Autel MaxiCharger et Grizzl-E Smart 40A, 72 500 $ obtenus.
Ces démonstrations montrent que les systèmes connectés des véhicules électriques et leurs stations de recharge restent vulnérables, même lorsqu’ils sont pleinement patchés.
Un calendrier chargé pour le reste de la compétition
Le second jour du concours prévoit plusieurs nouvelles attaques sur les chargeurs EV :
- Le Grizzl-E Smart 40A sera ciblé par quatre équipes.
- L’Autel MaxiCharger par trois équipes.
- Le ChargePoint Home Flex par deux équipes.
- Fuzzware.io tentera à nouveau le Phoenix Contact CHARX SEC-3150 pour un prix de 70 000 $.
Les éditeurs disposent de 90 jours pour corriger les vulnérabilités, après quoi la Zero Day Initiative de TrendMicro publiera les détails des exploits.
Pourquoi c’est important
Ces attaques démontrent que la sécurité des véhicules connectés et des infrastructures de recharge reste critique. Une exploitation réelle de ces failles pourrait permettre à des attaquants de :
- Prendre le contrôle des systèmes d’infodivertissement et de navigation.
- Accéder aux données personnelles des conducteurs.
- Manipuler à distance les stations de recharge, perturbant les véhicules électriques.
Pour les propriétaires de véhicules connectés, cela souligne l’importance d’installer rapidement toutes les mises à jour officielles et de limiter l’usage de périphériques externes (USB, clés, appareils non vérifiés).
Conseils pratiques pour se protéger
- Mettre à jour les systèmes : Infodivertissement, GPS, chargeurs EV.
- Limiter les connexions USB : N’utiliser que des périphériques de confiance.
- Activer les protections réseau : Firewalls, segmentation du réseau domestique pour la recharge EV.
- Surveiller les alertes constructeur : Abonnement aux notifications de sécurité pour les véhicules.
Une tendance de fond : sécurité automobile et zero-days
Depuis la première édition de Pwn2Own Automotive en 2024, les chercheurs continuent de démontrer que les voitures électriques et leurs accessoires restent une cible majeure pour les zero-days. L’année dernière, plus d’un million de dollars ont été attribués aux équipes pour 49 vulnérabilités exploitées.
Ce type de compétition est essentiel pour :
- Identifier les failles avant qu’elles ne soient exploitées malicieusement.
- Sensibiliser les constructeurs aux risques spécifiques aux véhicules connectés.
- Encourager le déploiement rapide de correctifs pour protéger les conducteurs.
Pour tout propriétaire d’EV, la leçon est claire : rester à jour et prudent reste la meilleure défense contre ces vulnérabilités sophistiquées.