Aller au contenu
Kratus

Un hacker trouve un moyen de voler une Tesla

Par Kratus, dans Tesla

Messages recommandés

Pahtath

Pahtath

Posté(é)
Posté(é)

Après, mettre une authentification double facteur, ça prend 5 min. Perso, ça a été la première chose que j'ai faite quand je me suis créé mon compte Tesla, et je me suis empressé d'en parler à mon pote qui a une Tesla aussi.

 

Pareil pour Gmail, un accès à mes données serait dramatique, la 2FA est pour moi indispensable.

D'ailleurs, je militerais assez pour que tous aient une 2FA obligatoire, après reste la question du média qui le génère. Idéalement cela devrait être une clé physique tierce et non une app sur le téléphone ou un SMS.

 

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é)
Le 13/01/2022 à 20:24, Lord_Casque_Noir a dit :

Je ne sais pas quelle crédibilité attribuer à cette info... pour l'instant et en attendant de voir si des sites sérieux reprennent et completent l'info, je me contenterai d'une note de 1/10

Certains medias spécialisés en parlent. Heureusement c'est pas une faille Day Zero et cela semble reposer sur un accès via un serveur tiers (je suppose donc un accès via les API), mais clairement cela pose la question de transférer ses droits authn à des sites tierces.

 

https://www.numerama.com/vroom/816747-tesla-devrait-vraiment-imposer-la-double-authentification-pour-proteger-ses-clients.html

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é) (modifié)

Et enfin cela semble être une faille Teslamate mais je ne veux pas divulguer le lien vers le patch afin d'éviter que l'on puisse s'en servir comme vecteur d'attaque sur les environnements non patchés. Un seul conseil : updatez Teslamate avec la dernière release.

EDIT : Au temps pour moi, @Milhooz a déjà parlé du souci hier.

 

 

Niveau CVE, on repassera.

Modifié par Pahtath

Partager ce message

Lien à poster
Partager sur d’autres sites
jpp59

jpp59

Posté(é)
Posté(é)
Après, mettre une authentification double facteur, ça prend 5 min. Perso, ça a été la première chose que j'ai faite quand je me suis créé mon compte Tesla, et je me suis empressé d'en parler à mon pote qui a une Tesla aussi.
 
Pareil pour Gmail, un accès à mes données serait dramatique, la 2FA est pour moi indispensable.
D'ailleurs, je militerais assez pour que tous aient une 2FA obligatoire, après reste la question du média qui le génère. Idéalement cela devrait être une clé physique tierce et non une app sur le téléphone ou un SMS.
 
Dans le cas du compte tesla je préfère pas mettre de 2fa, car ça risque d'être plus une contrainte dans le cas de perte/casse du smartphone. Et se faire hacker le compte tesla n'est pas la fin du monde non plus.

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é)
Le 13/01/2022 à 21:37, jpp59 a dit :

Dans le cas du compte tesla je préfère pas mettre de 2fa, car ça risque d'être plus une contrainte dans le cas de perte/casse du smartphone.

 

 

Il suffit de générer des mots de passe de secours via Tesla qu'on prendra soin de stocker de façon sécurisée quelque part dans le cloud (et idéalement cryptés).

 

J'ai déjà prévu ce cas : à l'étranger, on me vole mon téléphone et mon ordinateur, donc je ne peux plus accéder à Gmail. Pas grave, j'ai le moyen d'accéder à mes mots de secours uniques en allant dans un cybercafé.

 

Le 13/01/2022 à 21:37, jpp59 a dit :

Et se faire hacker le compte tesla n'est pas la fin du monde non plus.

 

Pas la fin du monde, mais clairement embêtant d'un point de vue de ses données personnelles, sans même parler de ses données bancaires enregistrées.

 

Partager ce message

Lien à poster
Partager sur d’autres sites
jpp59

jpp59

Posté(é)
Posté(é)

Quand on vient de te voler ou casser le smartphone, généralement tu n'es pas chez toi, donc pas accès à la liste de mots. Bien content de pouvoir emprunter le smartphone de quelq'un, installer l app Tesla , s'authentifier, démarrer la voiture et rentrer à la maison.

Partager ce message

Lien à poster
Partager sur d’autres sites
pao

pao

Posté(é)
Posté(é)
Quand on vient de te voler ou casser le smartphone, généralement tu n'es pas chez toi, donc pas accès à la liste de mots. Bien content de pouvoir emprunter le smartphone de quelq'un, installer l app Tesla , s'authentifier, démarrer la voiture et rentrer à la maison.

J'ai un mot de passe compliqué et double facteur activé.
J'ai toujours avec moi, dans mon porte monnaie, la carte clé. Déjà pour parer le jour où je n'ai plus de batterie.
J'ai aussi installé l'appli Tesla sur l'iPad de la maison.
En dernier recours, je peux emprunter un téléphone et demander à quelqu'un à la maison de m'ouvrir et démarrer ma voiture.

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é)
Le 14/01/2022 à 00:49, jpp59 a dit :

Quand on vient de te voler ou casser le smartphone, généralement tu n'es pas chez toi, donc pas accès à la liste de mots. Bien content de pouvoir emprunter le smartphone de quelq'un, installer l app Tesla , s'authentifier, démarrer la voiture et rentrer à la maison.

Rigolo, le biais cognitif : tu ne peux pas accéder à ta liste de mots stockée en ligne sur un smartphone tierce mais tu peux cependant télécharger l'application Tesla et t'authentifier dessus.

Et je rejoins totalement @pao, pour accéder à la voiture, Tesla prévoit déjà un moyen physique de secours...

Partager ce message

Lien à poster
Partager sur d’autres sites
Lord_Casque_Noir

Lord_Casque_Noir

Posté(é)
Posté(é)

Ok, merci pour le complément, ca dégonfle quand même vachement le scandale, en fait, il ne s'agit pas d'un hack du système Tesla, ni en local, ni a distance, c'est juste une faille sur un site annexe. C'est une des raisons qui font que je n'ai jamais utilisé d'application tierce.

 

En plus, a part klaxonner ou monter le chauffage, le hack ne représente pas de danger réel, pas question par exemple de faire accélérer la voiture, de bloquer les freins ou de donner un coup de volant

Partager ce message

Lien à poster
Partager sur d’autres sites
Fanarik

Fanarik

Posté(é)
Posté(é)

Question de candide : et si on te vole ta Tesla, ça fait quoi ? en te connectant sur l'appli, tu sais exactement où elle est. Tu vas à la Police et leur indique... Sachant cela, il faut être stupide pour en voler une. Non ?

Partager ce message

Lien à poster
Partager sur d’autres sites
pistache

pistache

Posté(é)
Posté(é)
Le 16/02/2022 à 16:07, Fanarik a dit :

Sachant cela, il faut être stupide pour en voler une. Non ?

Ça dépend. Tu la rentres direct dans un camion où t'as plus de réseau le temps de désactiver tout ça. Après t'en fais une version qui ne se connecte plus chez Tesla ou un stock de pièces détachées.

Partager ce message

Lien à poster
Partager sur d’autres sites
yankee76

yankee76

Posté(é)
Posté(é)
Le 16/02/2022 à 16:07, Fanarik a dit :

Question de candide : et si on te vole ta Tesla, ça fait quoi ? en te connectant sur l'appli, tu sais exactement où elle est. Tu vas à la Police et leur indique... Sachant cela, il faut être stupide pour en voler une. Non ?

Il est très facile de faire un brouilleur de GPS.

Partager ce message

Lien à poster
Partager sur d’autres sites
pao

pao

Posté(é)
Posté(é)
Voici comment ça peut se passer:
 
 

Mhhouaiiii...
On ne peut changer la vitesse max que si la voiture est en Park. Donc je serais curieux de savoir comment le propriétaire a ralenti la voiture.
On ne peut pas descendre les vitres mais uniquement entrouvrir quelques cm. Donc c'est faux aussi.
Dire qu'ils ont enregistré les voleurs avec les caméras, ce n'est en tout cas pas avec celle à l'intérieur du véhicule.

A part suivre la voiture sur le GPS et donner les infos à la police, et ou s'amuser à mettre la radio à fond et la Clim au min ou au max. C'est difficile d'arrêter les voleurs.

Un brouilleur GPS ou un simple brouilleur GSM et c'est terminé.

Je me demande si simplement débrancher la batterie 12V ne suffirait pas.

Mais ça reste déjà fort utile pour des voleurs amateurs.

Partager ce message

Lien à poster
Partager sur d’autres sites
Lord_Casque_Noir

Lord_Casque_Noir

Posté(é)
Posté(é)
Le 17/02/2022 à 09:41, pao a dit :

Un brouilleur GPS ou un simple brouilleur GSM et c'est terminé.

Ca c'est valable si la voiture doit finir en pièces détachées, si jamais l'objectif c'est la revente, je pense que la voiture n'aurait jamais de nouvelle virginité, sans compter qu'on ignore ce que Tesla est capable de faire à distance

Partager ce message

Lien à poster
Partager sur d’autres sites
Aller sur la liste des sujets




×
×
  • Créer...
Automobile Propre

Automobile Propre est un site d'information communautaire qui est dédié à tout ce qui concerne l'automobile et l'environnement. Les thématiques les plus populaires de notre blog auto sont la voiture électrique et les hybrides, mais nous abordons également la voiture GNV / GPL, les auto à l'hydrogène, les apects politiques et environnementaux liés à l'automobile. Les internautes sont invités à réagir aux articles du blog dans les commentaires, mais également dans les différents forums qui sont mis à leur dispositon. Le plus populaire d'entre eux est certainement le forum voiture électrique qui centralise les discussions relatives à l'arrivée de ces nouveaux véhicules. Un lexique centralise les définitions des principaux mots techniques utilisés sur le blog, tandis qu'une base de données des voitures (commercialisées ou non) recense les voitures électriques et hybrides.

Actualités

Dossiers

Véhicules

Forums

Essais

Boutique

Occasions

Guide du véhicule électrique

A propos