Les plans de Tesla pour révolutionner l’alimentation électrique mondiale sont audacieux, tout comme les premiers utilisateurs. Mais les utilisateurs des appareils d’énergie domestique Tesla Powerwall doivent faire attention lorsqu’ils les configurent pour qu’ils soient surveillés via l’application mobile. Des erreurs pourraient conduire à des hacks inquiétants, selon une étude publiée mardi.
Depuis janvier, Tod Beardsley, directeur de recherche au cabinet de conseil en cybersécurité Rapid7, recherche sur le Web des passerelles de sauvegarde Tesla Powerwall exposées. La passerelle est le logiciel qui détermine la quantité d’énergie qui doit être stockée sur un Tesla Powerwall et si elle doit aller à la maison ou au réseau. Les propriétaires peuvent vérifier ce qui se passe avec leur passerelle Tesla sur le Web ou sur une application mobile via Wi-Fi, une connexion AT&T ou un câble Ethernet. Ils ne devraient pas être accessibles à quiconque disposant d’une connexion Internet, mais Beardsley a découvert 379 installations uniques de Tesla Backup Gateway sur le Web, en grande partie grâce à des recherches Google intelligentes. Ils ont presque certainement été mis sur Internet par erreur, dit-il Forbes.
Beardsley a également découvert qu’il était possible de localiser un petit nombre de Powerpacks Tesla de qualité commerciale considérablement plus puissants, de grandes baies de batteries pour les déploiements de taille importante, pas pour les environnements résidentiels. Il a décidé d’éviter de tester la théorie selon laquelle la tension, le cycle et d’autres paramètres des appareils électriques Tesla pourraient être falsifiés à distance, si un pirate informatique trouvait un moyen d’entrer. Il pense qu’il pourrait être possible d’endommager une batterie, ou même le réseau électrique, si ils l’ont fait.
Beardsley a découvert qu’il y avait un moyen d’accéder à la passerelle grâce à des connexions par défaut faibles: un nom d’utilisateur de n’importe quelle adresse e-mail et un mot de passe des cinq derniers caractères du numéro de série de la passerelle. Le risque est minimisé car ce n’est que pour la première connexion, mais Beardsley pense qu’il est «peu probable» que la plupart des clients de Tesla se soient connectés, car cela arrête le fonctionnement de la batterie. Un pirate informatique pourrait acquérir le numéro de série, soit en devinant avec un programme «force brute» ou en le lisant physiquement à partir de l’appareil. Une attaque plus probable, cependant, verrait un pirate se trouver à portée du point d’accès WiFi de la passerelle, qui utilise les mêmes informations de connexion que la connexion à l’application Web. Le nom WiFi (ou SSID) comprend également les trois derniers caractères du numéro de série, ce qui rend une attaque par force brute beaucoup plus probable, car seuls les deux premiers caractères doivent être devinés. Dans le pire des cas, cela ne prendrait que 1 296 tentatives, rien pour un ordinateur à faire en quelques secondes.
Malgré cela, Tesla a créé un appareil largement sécurisé, si les utilisateurs ne configurent pas leurs batteries et leurs passerelles pour qu’elles soient localisées par des scanners Internet. «En fin de compte, la passerelle de sauvegarde Tesla peut être un appareil assez sécurisé, mais le problème ici est que quelques centaines d’entre eux sont directement accessibles sur Internet et nous soupçonnons qu’une partie de ceux-ci sont / ont été« sécurisés »avec de faibles mots de passe », a déclaré Beardsley.
«La combinaison des exigences de mot de passe faibles de l’appareil et du fait qu’il est conçu pour gérer des batteries assez lourdes – et dans certains cas, le réseau électrique lui-même – constitue une exposition assez risquée.
Tesla n’avait pas répondu à Forbes demandes de commentaires mais, selon le rapport de Rapid7, il a répondu positivement aux conclusions de Beardsley et a déjà travaillé pour empêcher toute exposition possible. Par exemple, la société d’Elon Musk a complètement abandonné les mots de passe prévisibles pour la version deux de la passerelle de sauvegarde et dans les modèles originaux récemment mis en service des passerelles de sauvegarde. (Des détails sur la connexion sécurisée à la passerelle peuvent être trouvés sur Site Web de Tesla). «Donc, pour la plupart des gens, le problème des mots de passe faciles à deviner a été résolu», a ajouté Beardsley. Il a déclaré que l’équipe de sécurité de Tesla travaillait à «atténuer davantage l’exposition accidentelle dans certaines fonctionnalités de sécurité à venir».
« Nous sommes surtout préoccupés par cela en termes d’avenir: si l’énergie décentralisée est vraiment la façon dont nous générons et consommons de l’électricité au cours des dix prochaines années, nous devons prendre de l’avance sur ce type d’expositions maintenant.
.