Des chercheurs français ont découvert deux failles zero day dans le tableau de bord de Tesla. En exploitant ces deux vulnérabilités critiques, ils ont pu prendre le contrôle du système et potentiellement voler des données sensibles.
Pwn2Own Automotive 2026, un concours de piratage consacré aux technologies automobiles, vient d’ouvrir ses portes à Tokyo. Dès le premier jour, les chercheurs en cybersécurité ont frappé fort en piratant le tableau de bord interactif d’une Tesla. Les experts de Synacktiv ont en effet débusqué deux vulnérabilités dans le système multimédia embarqué des voitures électriques d’Elon Musk. Il s’agit exclusivement de failles de type zero day, c’est-à-dire inconnues du constructeur automobile.
Verified! @synacktiv.com chained two vulnerabilities – an information leak and an out‑of‑bounds write – to achieve a full win in the Tesla Infotainment USB‑based Attack category, earning $35,000 USD and 3.5 Master of Pwn points. #Pwn2Own #P2OAuto
— TrendAI Zero Day Initiative (@thezdi.bsky.social) 21 janvier 2026 à 08:51
À lire aussi : La menace des dashcams – comment votre voiture peut devenir un outil de surveillance de masse
En exploitant les failles découvertes, les experts de la société française de cybersécurité ont pu prendre le contrôle de l’écran multimédia d’une Tesla en temps réel, sur la scène de l’événement. Comme l’expliquent nos confrères de Bleeping Computer, les chercheurs ont d’abord exploité une faille qui exposait des informations internes sur le système. Grâce à cette faille, ils ont pu récupérer des détails techniques cachés, indispensables pour bien calibrer la suite de l’attaque.
Vol de données
Dans un second temps, les chercheurs ont identifié une faille d’écriture hors limites. Cette faille laisse un attaquant injecter et exécuter son propre code sur le système du tableau de bord, avec les privilèges les plus élevés. En forçant ainsi le système à écraser des zones sensibles, ils ont pu y glisser leur propre programme et le faire tourner sur l’écran de la Tesla. Ils ont alors pris le contrôle du système.
Une fois dans le système, ils sont en mesure d’exfiltrer une montagne de données, comme des coordonnées. Les systèmes d’infodivertissement se synchronisent souvent avec votre téléphone, ce qui peut donner accès aux noms, numéros et même à l’historique de vos appels récents. Pire, ils peuvent aussi s’emparer de toutes vos adresses enregistrées, de vos destinations récentes et même de vos itinéraires quotidiens. Les messages, les mails, les listes de lecture, les identifiants des réseaux et des appareils Bluetooth connectés à la voiture peuvent aussi être compromis.
Pour orchestrer la cyberattaque, les chercheurs ont impérativement besoin d’un accès physique au port USB de la voiture. Ils précisent que la cible de l’opération est le système d’infodivertissement de la voiture, qui est séparé des fonctions critiques de conduite. Néanmoins, la prise de contrôle de l’écran multimédia pourrait servir de tremplin pour accéder à d’autres sections du système de la voiture.
Une prime de 35 000 dollars
Forts de leur démonstration, les chercheurs de Synacktiv ont remporté 35 000 dollars. Pour des raisons de sécurité, les détails des vulnérabilités exploitées sur scène ne sont pas divulguées publiquement dans l’immédiat. Les fabricants disposent de 90 jours après le concours pour corriger les failles découvertes et diffuser une mise à jour de sécurité sur leurs appareils. Passé ce délai, la Zero Day Initiative de Trend Micro rend les détails techniques publics afin que tout le monde sache qu’il existe une vulnérabilité et puisse prendre les mesures adéquates.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.