Pwn2Own : la Tesla Model 3 remportée au concours de hacking

Le par  |  2 commentaire(s)
Tesla-Model-3

Le système d'infotainment de la Tesla Model 3 n'a pas résisté aux assauts de hackers lors du concours Pwn2Own 2019 qui a été prolifique en exploits.

Organisé par Zero Day Initiative de Trend Micro, le concours de hacking Pwn2Own 2019 - axé sur la recherche de vulnérabilités de sécurité - vient d'avoir lieu à Vancouver au Canada. Cette édition 2019 a été maquée par quelques nouveautés, dont une catégorie automobile en partenariat avec Tesla.

Une cible a ainsi été une Tesla Model 3, sachant notamment que Tesla propose des mises à jour over-the-air des logiciels automobiles. L'équipe Fluoroacetate a relevé le défi et a remporté la berline familiale électrique haut de gamme de Tesla.

Toutefois, l'exploit réussi n'a pas été le plus rémunérateur qui aurait pu porter sur l'exécution de code via un point non autorisé et touchant la technologie de gestion de la communication entre les modules du calculateur du véhicule avec différents bus et protocoles, le pilotage automatique ou le VCSEC en charge de plusieurs fonctions de sécurité.

C'est le système d'information-divertissement (infotainment) qui a été attaqué par le biais du navigateur web intégré de la Tesla Model 3. Richard Zhu et Amat Cama de Fluoroacetate ont utilisé un bug JIT dans le moteur de rendu du navigateur pour exécuter du code sur le firmware de la voiture et afficher leur propre message dans le système d'infotainment. Un exploit à 35 000 $ en plus de repartir avec la Tesla Model 3.

Un bug JIT (Just-in-Time) permet de contourner une protection comme le placement de manière aléatoire des zones de données en mémoire qui permet par exemple de limiter les effets d'une attaque de type dépassement de tampon. Tesla va rapidement proposer une mise à jour logicielle pour corriger le problème.

Dans le cadre Pwn2Own, ce sont en effet des hackers white hat qui participent et ils doivent faire la démonstration d'exploits préparés en amont. Les vulnérabilités mises en jeu doivent être nouvelles et les éditeurs (ou vendeurs) concernés ont la possibilité de les corriger par la suite (dans un délai de 90 jours avant divulgation publique) en prenant connaissance des détails techniques.

Au-delà du cas de Tesla, l'équipe Fluoroacetate a été sacrée Master of Pwn de cette édition du Pwn2Own en remportant le plus de points et des récompenses d'un montant total de 375 000 $. Un autre exploit notable de leur part a été l'ouverture du navigateur Microsoft Edge depuis un client VMware Worsktation et la navigation sur une page web spécialement conçue (130 000 $).

Lors de ce concours Pwn2Own 2019, le montant des récompenses distribuées a atteint 545 000 $ pour un total de 19 bugs uniques dans Safari, Microsoft Edge, Firefox, Windows, VMware Workstation et donc le système d'infotainment de Tesla.

Cela explique notamment pourquoi le navigateur Firefox a reçu dans la foulée une mise à jour 66.0.1. Une très grande réactivité de Mozilla.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2056541

toujours tres interessant ce concour.
Le #2056547
Très intéressant en effet, mais bon, j'ai pas le niveau pour rivaliser ....
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme