Chaque année, lors de la conférence sur la sécurité CanSecWest, un concours de piratage informatique intitulé Pwn2Own est organisé. Les prix proposés comprennent des appareils (qui sont piratés), de l’argent et une veste « Master ». Mais cette année, il y a un nouveau prix à gagner sous la forme d’une Tesla Model 3.
Pwn2Own est un important concours à la fois pour les participants et les grandes entreprises de technologie qui proposent leurs produits. Tout exploit réussi rapportera un prix au hacker, mais également une certaine publicité et notoriété. Le piratage est effectué dans un environnement contrôlé, ce qui signifie que les détails de tout exploit sont connus et peuvent être rapidement utilisés pour boucher le trou de sécurité et protéger les consommateurs. Il n’est donc pas surprenant que Apple, Google, Microsoft, Mozilla, Oracle, VMware et Tesla y participent tous.
Les voitures sont de plus en plus connectées et dépendent du logiciel pour fonctionner. Et dans le cas de Tesla, les mises à jour logicielles, y compris l’ajout de nouvelles fonctionnalités, sont déployées à distance. Considérant à quel point une voiture peut être dangereuse en cas de dysfonctionnement ou de contrôle par un tiers, la sécurité est primordiale.
Tesla est impliqué dans Pwn2Own depuis 2014, mais c’est la première année qu’un de ses véhicules électriques sera offert comme un prix. Comme l’explique le blog de Zero Day Initiative, pour gagner la voiture, vous devez être le premier à la pirater pendant le concours. Cependant, il y a des centaines de milliers de dollars à gagner en piratant le Model 3 de différentes manières.
Divers types de hacks
Les hacks du Model 3 se répartissent en six catégories, comme le montre le tableau ci-dessus. Le plus gros lot, d’une valeur de 250 000 dollars, consiste à pirater avec succès les systèmes Gateway, Autopilot, et VCSEC du Model 3. 100 000 dollars sont disponibles pour pirater les porte-clés, le smartphone comme clé, le modem ou le tuner dans la voiture. 85 000 dollars pour échapper au bac à sable (sandbox) de sécurité du système d’infodivertissement, ce qui pourrait donner à un hacker l’accès au système d’exploitation sous-jacent de la voiture. Ensuite, il y a des prix en espèces plus petits, néanmoins importants, pour le piratage des systèmes Wi-Fi ou Bluetooth (60 000 dollars) et le déni de service (DDoS) du pilote automatique (50 000 dollars). Deux prix supplémentaires offrent 150 000 dollars supplémentaires pour la gestion du maintien de l’accès root après un redémarrage et le contrôle du bus CAN dans la voiture.
Avec le prix de la Model 3 s’élevant à 915 000 dollars, il y aura forcément beaucoup de chercheurs en sécurité enthousiastes qui tenteront de faire craquer la voiture lorsque le concours commencera le 20 mars.