La victoire de l’équipe de hackers français de Synacktiv Synacktiv lors de la compétition Pwn2Own à Tokyo, dédiée aux véhicules connectés, a été marquée par leur capacité à prendre le contrôle à distance de diverses fonctionnalités d’un véhicule Tesla.
Lors de la Conférence Automotive World à Tokyo du 24 au 26 janvier 2024, l’équipe française de chercheurs en cybersécurité s’est distinguée en remportant plusieurs Prix lors du concours de piratage Pwn2Own organisé par Zero Day Initiative (ZDI). Ce concours, axé sur la cybersécurité automobile, vise à sensibiliser l’industrie automobile à l’importance de renforcer la sécurité des véhicules connectés. Son objectif principal est de mettre en lumière les vulnérabilités logicielles et systémiques des véhicules modernes, encourager la collaboration proactive entre les chercheurs en cybersécurité à l’échelle mondiale et l’industrie automobile. Le programme de bug bounty de Pwn2Own offre aux constructeurs tels que Tesla, co-sponsor de l’édition, la possibilité de tester et de corriger les failles de sécurité de leurs véhicules, tout en permettant aux hackers d’être récompensés pour démontrer leur expertise dans des attaques multi-systèmes.
Un total de 8 attaques réussies
Cette année, Synacktiv a relevé le défi en présentant des démonstrations de hacking inédites, avec un total de 8 attaques :
- Quatre attaques ciblant des chargeurs de véhicules électriques : dans chaque cas, Synacktiv a réussi à prendre le contrôle à distance de l’équipement, garantissant un accès complet.
- Une attaque visant un équipement de type autoradio intelligent (incluant musique, caméra de recul, etc.) : Synacktiv a pris le contrôle en connectant simplement une clé USB.
- Une attaque dirigée contre un système d’exploitation automobile : de manière similaire à l’autoradio intelligent, Synacktiv a pris le contrôle en se connectant via USB.
- Deux attaques ciblant Tesla : L’équipe a démontré sa capacité à prendre le contrôle à distance de plusieurs fonctionnalités du véhicule via le réseau mobile, acquérant des privilèges similaires à ceux obtenus lors des compétitions de 2022, ainsi qu’une partie des privilèges de la compétition de 2023.
En pratique, les constructeurs disposent de 90 jours pour publier des correctifs de sécurité une fois les failles révélées.
Une participation depuis 2020 |
---|
Sur cette édition 2024, Synacktiv remporte 450 000 dollars de récompense. L’entreprise affichait déjà un beau palmarès au Pwn2Own, puisque l’équipe française avait déjà remporté l’édition à Austin en 2021. En 2022, Synacktiv s’inscrivait dans l’histoire du concours en présentant pour la première fois l’exploitation réussie d’une faille sur un modèle Tesla lors de l’édition de Pwn2Own à Vancouver. Plus récemment, s’ajoutaient d’autres trophées à leur collection en remportant la première place de l’édition de Vancouver 2023, pour avoir réussi à compromettre la Tesla Model 3. Au final, l’équipe de Synacktiv avait remporté 530 000 $ et la Tesla Model 3, consolidant leur réputation de leaders incontestés dans le domaine de la cybersécurité offensive. |