Vulnérabilité critique dans les Tesla Model 3 et Cybertruck : le module VCSEC compromis

Des chercheurs en sécurité ont récemment découvert une faille préoccupante dans les véhicules Tesla Model 3 et Cybertruck. Cette vulnérabilité, exploitée sans action du conducteur, met en évidence des lacunes majeures dans la sécurité des systèmes embarqués de ces véhicules. Plongeons dans les détails de cette découverte qui soulève des questions sur la sécurité des voitures connectées.

L’essentiel à retenir

• Des chercheurs de l’université Northeastern ont mis en lumière une faille critique dans les Tesla Model 3 et Cybertruck, exploitée sans action du conducteur.
• La vulnérabilité, référencée CVE-2025-2082, affecte le module VCSEC, essentiel pour les fonctions de verrouillage et de sécurité des véhicules.
• Synacktiv, une équipe française, a découvert cette faille lors du concours Pwn2Own Vancouver 2024, et Tesla a déployé un correctif via une mise à jour en octobre 2024.

Les détails de la faille de sécurité

Le 17 février 2026, une étude menée par des chercheurs de l’université Northeastern a révélé des failles critiques dans les Tesla Model 3 et Cybertruck. Cette découverte a mis à jour des vulnérabilités dans le module VCSEC, responsable des fonctions de verrouillage, de démarrage et de communication de sécurité. La faille, référencée sous le code CVE-2025-2082, permet à un attaquant de manipuler les réponses du capteur de pression des pneus (TPMS), provoquant un débordement d’entier dans la mémoire du module.

Une fois cette faille exploitée, l’attaquant peut exécuter du code malveillant, accédant ainsi au bus CAN, le réseau interne du véhicule qui contrôle des fonctions essentielles comme le freinage et l’accélération. Cette attaque peut être réalisée sans aucune intervention du conducteur, à condition d’être à proximité du véhicule.

La réponse de Tesla et les implications

L’équipe française de Synacktiv, composée de Thomas Imbert, Vincent Dehors et David Berard, a découvert cette faille lors du concours Pwn2Own Vancouver 2024. Tesla a rapidement réagi en déployant un correctif avec la mise à jour 2024.14 en octobre 2024. Cependant, la découverte souligne des faiblesses dans la conception du système, notamment en raison d’une mémoire configurée de manière inadéquate, permettant des actions malveillantes.

La mise à jour à distance est un outil puissant pour Tesla, mais elle repose sur l’hypothèse que les propriétaires maintiennent leurs véhicules à jour, ce qui n’est pas toujours garanti. Cette situation met en lumière l’importance de la sécurité numérique dans l’ingénierie automobile moderne.

Synacktiv et les défis récurrents pour Tesla

Synacktiv n’en est pas à son premier coup d’essai. Depuis 2022, l’équipe démontre régulièrement des failles dans les systèmes de Tesla lors du concours Pwn2Own. Ces découvertes récurrentes indiquent que, malgré les efforts de Tesla pour corriger les vulnérabilités, la surface exposée de ces véhicules reste vaste.

Le défi pour Tesla est de continuer à anticiper les menaces numériques et à renforcer la sécurité de ses véhicules. Les propriétaires, quant à eux, doivent être conscients des mises à jour disponibles et veiller à les appliquer pour assurer leur sécurité sur la route.

Le contexte des véhicules Tesla et la compétition technologique

Tesla, fondée par Elon Musk, a révolutionné l’industrie automobile avec ses véhicules électriques et ses technologies avancées. Cependant, cette avancée technologique s’accompagne de défis en matière de cybersécurité. La concurrence, notamment des marques comme Rivian, Lucid Motors et NIO, pousse Tesla à renforcer continuellement ses systèmes pour rester leader sur le marché.

Les incidents de sécurité, comme celui révélé par Synacktiv, rappellent que l’innovation doit s’accompagner d’une vigilance accrue en matière de sécurité numérique. Alors que les voitures deviennent de plus en plus connectées, la protection des systèmes embarqués devient un enjeu crucial pour les fabricants automobiles.

Source : https://www.datackathon.com/tesla-model-3-et-cybertruck-des-vulnerabilites-a-distance-revelees/