Richard Zhu et Amat Cam, alias l'équipe « Fluoroacétate », ont réussi à s'introduire dans la berline électrique via son système d’info-divertissement lors du concours de piratage Pwn2Own à Vancouver, Canada, vendredi dernier. Ils ont exploité un bogue JIT (ou « just in time », qu’on peut traduire comme juste à temps) dans le processus du navigateur, ce qui leur a permis d’afficher un message sur le système d’info-divertissement.
En plus de la voiture, Zhu et Cam ont reçu 35 000 $US pour avoir découvert le virus, selon un article de Zero Day Initiative. Notons que cette défaillance n'a pas permis aux pirates éthiques de prendre le contrôle du véhicule lui-même.
Nous soulignions en janvier que Tesla avait décidé d’utiliser l'un de ses modèles comme cible lors de l'événement qui s'est déroulé du 20 au 22 mars.
Le duo a connu un vif succès lors de cet événement, ayant récolté 375 000 $US en prix au total, y compris pour la détection de failles dans Apple Safari, Microsoft Edge, VMware Workstation, Oracle Virtualbox, et Windows 10.
Dans sa déclaration suivant la découverte de Zhu et Cam, le constructeur d'automobiles électriques soulignait qu'un correctif pour la vulnérabilité (identifié comme CVE-2019-9977) était en route.
« Dans les prochains jours, nous publierons une mise à jour du logiciel qui traite de cette recherche », peut-on lire dans une déclaration de Tesla sur ZDNet vendredi dernier. « Nous comprenons que cette démonstration a demandé un effort et des compétences extraordinaires, et nous remercions ces chercheurs pour leur travail qui nous a permis de continuer à nous assurer que nos voitures soient les plus sécuritaires sur la route aujourd'hui. »
Tesla a lancé son propre programme de primes aux bogues en 2014 et a depuis offert des centaines de milliers de dollars US en récompenses pour avoir signalé des vulnérabilités de ses systèmes automobiles. Selon Teslarati, l'entreprise a étendu l'an dernier ce programme à ses produits énergétiques.