La compétition de piratage Pwn2Own Automotive 2026, qui se tient à Tokyo, a démarré sur les chapeaux de roues. Dès le premier jour, une équipe de chercheurs français de la société Synacktiv a réussi l'exploit de compromettre le système d'infodivertissement d'une Tesla. En enchaînant deux vulnérabilités critiques jusqu'alors inconnues, ils ont obtenu un contrôle total sur l'écran multimédia, remportant au passage une prime de 35 000 dollars.
Comment les pirates ont-ils réussi à prendre le contrôle ?
Ce type de piratage s'est déroulé en deux temps et a nécessité un accès physique au port USB du véhicule. Les experts ont d'abord exploité une première faille permettant une fuite d'informations. Cette étape leur a donné accès à des détails techniques internes du système, essentiels pour calibrer la seconde phase de l'assaut.
Forts de ces renseignements, ils ont ensuite utilisé une seconde faille, de type « écriture hors limites » (out-of-bounds write). Cette vulnérabilité leur a permis d'injecter et d'exécuter leur propre code avec les privilèges les plus élevés, écrasant des zones sensibles de la mémoire pour y installer leur programme et ainsi s'emparer du tableau de bord.
Quels sont les risques concrets pour les conducteurs ?
Bien que le système d'infodivertissement soit séparé des fonctions critiques de conduite, les dangers sont bien réels. Une fois l'accès obtenu, un attaquant peut exfiltrer une quantité massive de données personnelles. Les systèmes modernes se synchronisant avec les smartphones, cela inclut les contacts, l'historique des appels, les messages et les emails.
Plus inquiétant encore, le pirate peut s'emparer de toutes les adresses enregistrées, des destinations récentes et même des itinéraires quotidiens, dessinant une carte précise des habitudes de la victime. Les identifiants des réseaux Wi-Fi et des appareils Bluetooth connectés sont également des cibles potentielles, transformant la voiture en véritable mine d'informations sensibles.
Quelle est la suite des événements pour Tesla et les autres constructeurs ?
Conformément aux règles de la compétition organisée par la Zero Day Initiative de Trend Micro, les détails techniques des failles ne sont pas rendus publics immédiatement. Les constructeurs, y compris Tesla, disposent désormais d'un délai de 90 jours pour développer et déployer un correctif de sécurité.
Passé ce délai, les informations sur les vulnérabilités seront divulguées publiquement. Cette politique vise à inciter les entreprises à réagir rapidement tout en informant le grand public des risques existants. Le Pwn2Own Automotive continue de s'affirmer comme un événement crucial pour mettre à l'épreuve la sécurité de l'industrie automobile, avec plus de 500 000 dollars de récompenses distribués dès le premier jour pour la découverte de 37 failles zero day.