La localisation précise d’un millier de voitures électriques Tesla est visible sur Internet. Un chercheur en cybersécurité a découvert des serveurs mal sécurisés qui exposent les données sensibles, comme la localisation en temps réel, les trajets détaillés ou encore le niveau de la batterie, des automobilistes sur la toile.
Seyfullah Kiliç, chercheur et fondateur de la société de cybersécurité SwordSec, a découvert des informations détaillées sur les voitures Tesla, y compris des historiques précis de leurs déplacements, sur Internet. La fuite découle de l’utilisation de TeslaMate, un logiciel open source qui sert de journal de bord pour les voitures de la marque. Le logiciel permet d’enregistrer toutes les données que la voiture envoie (trajets, recharges, vitesse, consommation, localisation GPS, etc.) et de les présenter sous la forme de graphiques.
Tout l’enregistrement des données, et la mise en forme, réalisée à l’aide de Grafana, un outil de visualisation, facilitent le suivi énergétique des recharges. Les données peuvent être consultées sur un ordinateur. Pour héberger le logiciel TeslaMate et les données de leurs voitures, les utilisateurs doivent impérativement se servir d’un serveur. Malheureusement, il s’avère que de nombreuses personnes commettent l’erreur d’utiliser des serveurs mal sécurisés, accessibles à n’importe qui sur Internet.
« Pour les passionnés, c’est une mine d’or. Mais pour les attaquants, cela peut l’être tout autant — en cas de mauvais déploiement », déclare Seyfullah Kiliç.
À lire aussi : Votre Tesla fume lors de la recharge ? C’est tout à fait normal
Une négligence qui expose la position des Tesla
Comme l’explique Seyfullah Kiliç dans un billet de blog, plus d’un millier de serveurs accessibles publiquement hébergent des données sensibles sur les voitures de Tesla. Dans le détail, ce sont plus de 1 300 tableaux de bord TeslaMate qui sont visibles sur la toile. Pour se connecter à ces serveurs, et consulter les données sensibles qui y sont stockées, il n’y a pas besoin de mot de passe ou d’identifiants. De « nombreux utilisateurs sautent les pratiques de sécurité de base, laissant une mine d’or de données sensibles ouvertes au monde entier ».
Le chercheur explique avoir scanné tout le web à la recherche des tableaux de bord. Une fois ceux-ci débusqués, il a pu exfiltrer les données, comme le dernier endroit où la voiture a été localisée. Il a ensuite placé tous ces véhicules sur une carte, offrant un panorama clair, complet et en temps réel de la position des voitures Tesla.
« Imaginez pouvoir savoir non seulement où quelqu’un habite, mais aussi quand sa voiture n’est pas à la maison — et exactement combien de charge il reste dans la batterie », relate le chercheur.
Sans surprise, le chercheur demande à tous les utilisateurs de TeslaMate de sécuriser leurs serveurs pour éviter les fuites de données de cet acabit. Sans « authentification ou pare-feu, des données sensibles (GPS, charge, voyages) peuvent être divulguées », souligne le chercheur.
Un problème de sécurité qui s’aggrave
Ce problème de sécurité ne date pas d’hier. En 2022, David Colombo, un chercheur allemand, avait déjà déniché des dizaines de serveurs TeslaMate non sécurisés. Ces serveurs étaient en fait exposés publiquement à cause d’une vulnérabilité dans le logiciel open source. La faille laissait les utilisateurs peu avertis exposer la clé API de leur voiture. Mal configuré, le logiciel offrait un accès anonyme et publique au tableau de bord.
Alerté par Colombo, Adrian Kumpf, responsable du projet TeslaMate, a annoncé le déploiement d’un correctif. La mise à jour, déployée en janvier 2022, a imposé des règles plus strictes pour empêcher l’accès non autorisé au tableau de bord. Néanmoins, Kumpf s’est dit incapable de protéger les utilisateurs exposant accidentellement leurs serveurs TeslaMate sur Internet. Les serveurs sont en effet hébergés directement par les utilisateurs. C’est à eux que revient la responsabilité de sécuriser correctement leurs serveurs. En dépit du correctif, il apparait que le problème des serveurs TeslaMate mal sécurisés persiste, et continue même de prendre de l’ampleur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Medium