Les voitures connectées, cible des hackers

Les voitures connectées, cible des hackers

VicOne, fournisseur de solutions de cybersécurité pour l'industrie automobile, a organisé fin janvier son premier événement de piratage éthique « Pwn2Own Automotive 2024 » au salon Automotive World de Tokyo. L’objectif était d’étudier et de surmonter les défis de la cybersécurité dans l’industrie automobile. L'événement a été un grand succès. Plus précisément, 17 équipes ou individus de hackers au chapeau blanc de neuf pays, dont l'Allemagne, ont entrepris un total de plus de 50 approches de piratage différentes dans quatre catégories : « Tesla », « Infodivertissement embarqué (IVI) », « Chargeurs EV » et « Système d'exploitation ». Les participants ont concouru pour un total de 1 323 750 $ en argent et en prix. Résultat inquiétant : au total, 49 failles de sécurité jusqu'alors inconnues (vulnérabilités du jour zéro) ont été découvertes par les participants au hackathon au cours des trois jours de l'événement. Pour remporter leur tentative de piratage respective, les participants devaient être capables d'exploiter les vulnérabilités nouvellement découvertes pour attaquer les systèmes et appareils cibles et exécuter des instructions arbitraires.

Cependant, l'événement n'était pas seulement une question de prestige et de compétition entre les meilleurs pirates informatiques du secteur, mais aussi une collaboration au sein de l'industrie automobile et avec des experts externes en cybersécurité informatique pour rendre l'ensemble du secteur plus sûr. Le constructeur de véhicules électriques Tesla, sponsor principal de l'événement, a mis à disposition et testé ses propres produits, dont un modem, un système d'infodivertissement et un véhicule Model Y. Les hackers participants venaient de pays comme le Vietnam, les États-Unis et le Japon, mais aussi de Grande-Bretagne, de Hongrie, de Hollande, de France et d'Allemagne et ont mené leurs attaques en partie à distance et en partie sur place. Depuis l'Allemagne par exemple, l'équipe Tortuga (à distance) et l'équipe fuzzware.io y ont participé, réalisant leurs hacks sur place.

Les pirates éthiques de fuzzware.io ont ciblé avec succès le contrôleur de charge « Sony SEC-3100 » dans la catégorie des chargeurs de véhicules électriques. Avec six tentatives de piratage, ils figuraient parmi les participants les plus fréquentés du hackathon. L'équipe Tortuga a également vérifié la station de recharge ChargePoint Home Flex dans la catégorie des chargeurs de véhicule électrique pour détecter d'éventuelles vulnérabilités en matière de sécurité. Avec un gain total de 177 500 dollars américains, l'équipe allemande fuzzware.io a pris une très bonne deuxième place et n'a été battue que par l'équipe gagnante Synacktiv de France avec un gain total de 450 000 dollars américains, qui porte désormais également le titre de « Master of Pwn » en plus de la victoire au classement général. L'événement multinational a servi à connecter et à mettre en réseau l'industrie automobile avec l'industrie de la cybersécurité et à mettre en évidence les menaces potentielles.