Une faille de sécurité majeure expose les informations privées de plus d'un millier de propriétaires de Tesla. Le chercheur en cybersécurité Seyfullah Kiliç a découvert que des centaines de serveurs hébergeant l'application TeslaMate sont accessibles publiquement sur internet, sans la moindre authentification. Il ne s'agit cependant pas d'un piratage de la société d'Elon Musk, mais d'une négligence de la part de certains utilisateurs qui met en péril leurs données les plus personnelles.
TeslaMate, l'outil pour passionnés qui se retourne contre eux
TeslaMate est un logiciel open source très populaire auprès des conducteurs de Tesla. Il leur permet de collecter et d'analyser une multitude d'informations sur leur véhicule : trajets, consommation, état de la batterie, vitesse, etc. Pour fonctionner, cet outil doit être hébergé sur un serveur, que de nombreux utilisateurs déploient sur le cloud. Le problème vient de là : par méconnaissance ou par oubli, beaucoup omettent de configurer les protections de base, laissant leur tableau de bord ouvert à tous vents.
Le chercheur a pu identifier ces serveurs en scannant l'intégralité d'internet à la recherche des ports spécifiques utilisés par l'application (le port 4000 pour TeslaMate et 3000 pour Grafana, l'outil de visualisation). Il a ainsi découvert plus de 1 300 tableaux de bord TeslaMate sans aucune protection.
Données fournies par l'application TeslaMate
Crédits : My TeslaMate
Localisation, trajets, habitudes : des données privées en libre accès
Les informations exposées sont extrêmement sensibles. Le chercheur a pu accéder en temps réel aux coordonnées GPS exactes des véhicules, à l'historique complet des déplacements, aux lieux fréquemment visités comme le domicile ou le lieu de travail, et même au niveau de charge de la batterie. Pour démontrer l'ampleur du risque, il a regroupé toutes les localisations sur une carte mondiale accessible en ligne.
« Imaginez pouvoir savoir non seulement où quelqu’un habite, mais aussi quand sa voiture n’est pas à la maison — et exactement combien de charges il reste dans la batterie », alerte Seyfullah Kiliç. Cette mine d'or d'informations représente donc un risque évident pour la sécurité physique des propriétaires.
Un problème connu qui ne fait que s'aggraver
Cette vulnérabilité n'est pas nouvelle. En 2022, un autre chercheur avait déjà alerté sur des dizaines de serveurs TeslaMate non sécurisés. Le créateur de l'application, Adrian Kumpf, avait alors déployé un correctif pour renforcer la configuration par défaut. Il avait toutefois rappelé que la responsabilité finale de la sécurisation du serveur incombait à l'utilisateur.
Malgré cet avertissement, le problème persiste et a même pris de l'ampleur. La facilité d'utilisation de l'outil pousse de plus en plus de propriétaires peu avertis à l'installer sans prendre les précautions nécessaires, transformant un formidable journal de bord en un mouchard public.
Comment sécuriser son installation TeslaMate ?
Heureusement, se protéger est relativement simple. Le chercheur recommande aux utilisateurs de TeslaMate de mettre en place des mesures de sécurité de base pour éviter que leurs données ne soient exposées, comme :
- Activer une authentification : Mettre en place un simple nom d'utilisateur et un mot de passe est la première étape pour bloquer les scanners automatiques.
- Configurer un pare-feu : Il est possible de limiter l'accès au serveur à des adresses IP de confiance uniquement (par exemple, celle de votre domicile).
- Utiliser un VPN : L'accès au serveur peut être restreint via un réseau privé virtuel (VPN), ce qui garantit que seul vous pouvez consulter vos données.
Ces quelques manipulations sont indispensables pour profiter des avantages de TeslaMate sans partager involontairement ses moindres faits et gestes avec le monde entier.