Tesla propose la double authentification pour son application permettant d’accéder à certaines fonctionnalités de ses voitures. Problème ? Elle est optionnelle.

Vous êtes propriétaire d’une voiture Tesla ? Alors on ne peut que vous encourager à activer la double authentification sur compte, qui permet d’accéder à l’application. Dans une série de tweets publiés le 10 janvier, David Colombo, hacker et spécialiste en cybersécurité, affirme avoir pris le contrôle, à distance, de plusieurs véhicules Tesla situés dans divers pays.

« Il ne s’agit pas d’une vulnérabilité au sein des infrastructures Tesla. C’est la faute des propriétaires. Voilà pourquoi j’aimerais pouvoir le rapporter aux concernés », indique-t-il. À ses yeux, la faille est du côté des utilisateurs qui n’ont pas une hygiène informatique suffisamment bonne pour se prémunir d’attaques extérieures (choisir un mot de passe solide par exemple, ou ne pas utiliser le même pour tous ses comptes). Le constructeur américain pourrait cependant responsabiliser un peu mieux ses clients, par exemple en imposant la double authentification (elle n’est qu’optionnelle pour le moment).

Tesla Model Y // Source : Louise Audry pour Numerama
Tesla Model Y // Source : Louise Audry pour Numerama

La double authentification devrait être obligatoire pour les voitures Tesla

Attention, David Colombo n’est pas en mesure de contrôler intégralement les voitures Tesla depuis chez lui : il ne peut pas agir sur des commandes de conduite comme l’accélération ou la direction quand le conducteur est au volant. Il explique en revanche pouvoir désactiver le mode Sentinelle (surveillance des alentours quand la voiture est garée), déverrouiller les portes, voir la localisation exacte ou encore lancer une vidéo sur YouTube. Il concède malgré tout : « Je pense que c’est plutôt dangereux, si quelqu’un est capable de lancer une musique à plein volume ou ouvrir la vitre pendant que vous roulez sur l’autoroute. » Notez qu’il n’est pas possible de créer une clé téléphone étant donné qu’il faut être à proximité de la voiture pour procéder à la configuration (qui passe par la liaison Bluetooth).

Cette expérience partagée permet de rappeler l’importance d’une bonne hygiène informatique. La double authentification est certainement le meilleur moyen de s’éviter des problèmes, et elle devrait être imposée sur des produits tels que ceux de Tesla (on parle quand même de voitures qui coûtent plusieurs milliers d’euros, sans oublier la partie liée à la sécurité routière et l’accès aux données de facturation). Par le passé, on a vu des entreprises inscrites dans des marchés moins sensibles que celui de Tesla encourager vivement la double authentification (exemple : l’Epic Games Store).

Ce piratage des voitures Tesla rappelle d’ailleurs ce fait divers lié à une caméra Ring, commercialisée par Amazon. En 2019, le dispositif avait été détourné pour parler à un enfant. Là encore, la multinationale n’imposait pas la double authentification et rejetait la faute sur les parents. « Malheureusement, lorsque le même nom d’utilisateur et le même mot de passe sont réutilisés sur plusieurs services, il est possible que des individus malveillants aient accès à plusieurs comptes », expliquait-elle.

Comment activer la double authentification sur l’application Tesla ?

Pour configurer la double authentification, il faut :

  • Télécharger une application d’authentification tierce (exemple : Google Authenticator) ;
  • Se connecter à son compte Tesla et appuyer sur ‘Paramètres du profil’ ;
  • Appuyer sur ‘Gérer’ dans ‘Authentification multifacteur’ ;
  • Suivre les indications (plusieurs options possibles : code de vérification affichée sur l’application, QR Code, clé de sécurité) ;
  • Saisir le code de vérification sur le site web ;
  • Vérifier qu’on a bien reçu un mail de confirmation.