Le hack ridiculement simple du site de Tesla

Tesla hack

Le week-end dernier, la célèbre marque automobile Tesla, était la cible de pirates. Ces derniers ont pris d’assaut le site du constructeur ainsi que son compte Twitter, d’une bien simple façon.

Plus de peur que de mal. Les pirates ayant pris la main sur le compte Twitter de Tesla et sur son site Web n’ont finalement pas fait trop de dégâts (changement de nom du compte au profit de celui du groupe de hackers, promesses folles tenues au nom de Tesla). Il s’agissait avant tout d’un coup de pub plutôt que d’une opération visant à dénigrer la marque.

Mais au-delà de ce « coup de pub » pirate, c’est la technique de piratage utilisée qui étonne par sa simplicité. Loin de constituer une opération de spécialistes, elle semble plutôt être à la portée de tous trolls audacieux.

La technique a été baptisée « ingénierie sociale ». Contacté par SecurityWeek, un porte-parole de Tesla a ainsi expliqué le processus de piratage ici mis en place. Les pirates contactent l’opérateur de Tesla en se présentant comme des employés du constructeur. Ils demandent alors de transférer les appels de l’entreprise vers un autre numéro. Ils contactent ensuite le services d’enregistrement des noms de domaines de Tesla pour ajouter une nouvelle adresse mail d’administrateur, en la confirmant par téléphone grâce aux nouvelles lignes renseignées au préalable. La réinitialisation des mots de passe des comptes Twitter et du site web est alors relativement aisée.

« Pas de conséquence sur le reste du réseau de la marque ou les bases de données clients », comme le porte-parole de Tesla concluait afin de rassurer ses éventuels prospects… Une faible consolation finalement qui laisse la sécurité de côté.

Tags :Via :Business Insider
Dernières Questions sur UberGizmo Help
  1. la technique n’a pas a proprement parlé été baptisé ingenierie sociale : ce type de hack reposant sur la faiblesse humaine et la relation sociale que l’on noue avec la personne que l’on veut duper s’appelle de l’ingenierie sociale. Ce n’est pas nouveau…

  2. Oui exactement, ou le « social engineering » en anglais, merci paskal441 de le rappeler. Ce n’est absolument pas nouveau et c’est même assez étonnant qu’un blog comme gizmodo en parle de manière très naïve comme s’il s’agissait d’une nouvelle technique. L’article source n’en parle d’ailleurs pas du tout en ces termes.

    D’autre part, je ne vois absolument pas le lien entre le fait d’avoir une adresse email admin pour les domaines de tesla et le fait de réinitiliser les mots de passe de Twitter. Merci de m’éclairer.

    1. En fait vaut mieux lire l’article original parce que celui-ci…
      En gros l’attaquant a eu accès au panel admin de la partie noms de domaines (et j’imagine gestion des adresses mail) de Tesla, et vu qu’en général il y a des alias qui sont utilisés pour les comptes sur internet (type social@tesla.com tu vois), il aurait suffi de changer les adresses mail attachées au bon alias. A partir de là, tu n’as plus qu’à faire « Mot de passe oublié ? » et bonjour la réinitialisation !

  3. Ouais, ‘fin là, c’est pas la sécurité du site qui est en cause.
    C’est d’abord l’opérateur qui rajoute des lignes téléphoniques sans vérification..

  4. Il reste que ce n’est peut être pas un exploit technique mais ça n’est pas pour autant à la portée de tout le monde.
    Beaucoup de grand hackers ont fait du social engineering (Kevin Mitnick l’a beaucoup utilisé par exemple). Cela demande des compétences tout de même. Il faut réussir à convaincre plusieurs personnes en prenant l’identité de plusieurs personnes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité