Des chercheurs de Tencent prouvent que l’on peut faire prendre la mauvaise file à une Tesla, la piloter à distance et tromper ses essuies-glaces

Des chercheurs de Keen Security Lab, le cyberlaboratoire de Tencent, ont dévoilé trois vulnérabilités de sécurité dans les véhicules électriques de Telsa, leur voiture de test étant une Tesla Model S 75.

Le constructeur en a été informé en confidence avant publication, et aurait déjà éliminé les risques dans ses dernières mises à jour.

APE

L’APE est l’Autopîlot ECU (Electronic control Unit, Unité de commande électronique).

L’Autopilot est le nom (scandaleusement trompeur) du système avancé d’aide à la conduite automobile de Tesla (rester sur sa voie, vitesse adaptative, stationnement automatique, etc.), et non d’un système autonome de pilotage automatique.

Les chercheurs ont prouvé qu’il était possible de gagner à distance le privilège root de l’APE, et donc d’en prendre le contrôle, et de même pouvoir contrôler le système de direction de la voiture, en l’emportant sur le volant.

Ils ont utilisé une manette de jeux vidéo reliée à un appareil mobile par Bluetooth. Cet appareil mobile est connecté à l’APE dont le contrôle a été pris.

À quelques limites près, les chercheurs ont pu diriger le véhicule, en fonction du mode de la voiture (garée, pilotée par l’Autopilot, etc.), soit à 8 km/h, soit sans limite de vitesse.

Essuie-glaces

S’il est une chose dont Elon Musk, CEO de Tesla est très fier, ce sont les essuie-glaces, sans doute les seuls à utiliser des réseaux neuronaux. Il a ainsi refusé d’exploiter le système traditionnel, qui se base sur des capteurs optiques pour détecter l’humidité.

Malheureusement pour ses clients, cette fierté déplacée, et cette envie d’apporter une solution à un problème déjà résolu depuis des décennies, est la raison pour lesquelles les essuie-glaces des Tesla fonctionnent si mal.

Depuis 2017, la caméra fisheye de la Tesla capture des images du pare-brise, et les envoie après un premier traitement à un réseau neuronal, qui renvoie un chiffre pour signifier si de l’humidité est présente sur le pare-brise ou non.

L’équipe a alors décidé de développer des exemples antagonistes, c’est-à-dire des données d’entrées pour un réseau neuronal qui provoquent une donnée de sortie incorrecte.

Un exemple bien connu est l’ajout de bruit de fond construit avec soin à la photo d’un panda, de telle sorte qu’il soit reconnu comme un singe par un réseau neuronal, alors qu’à la vue humaine, la photo reste indéniablement celle d’un panda.

Les chercheurs ont eu du succès avec l’algorithme de Particle Swarm Optimization, ou optimisation par essaims particulaires, une métaheuristique d’optimisation.

Là encore, alors que l’image antagoniste semble la même à l’œil nu, elle inverse le résultat émis par le réseau neuronal.

Comme il est difficile d’exploiter un example antagoniste dans le monde réel, les chercheurs ont eu recours à une astuce : un écran qui est reflété par le pare-brise, et qui est contrôlé par un ordinateur. Dans ce cas, c’est le véhicule même qui est exploité pour entraîner l’algorithme et pour générer les exemples antagonistes !

Détection de voies

La détection de voies est le système de détection des marquages sur une route pour déterminer si la voiture reste bien dans sa voie. En général, un système alarme le conducteur s’il risque de sortir de sa voie, ou bien sait corriger la direction pour rester dedans, voire parfois, sait même changer de voie elle-même, pour doubler une voiture par exemple.

Attaque par élimination de voies

Cette attaque consiste à faire ‘disparaître’un marquage au sol pour le système d’apprentissage automatique. Les chercheurs ont réussi à modifier le marquage sur une route afin de tromper le véhicule. Toutefois, ces modifications sont immédiatement visibles pour l’œil humain. Ils en déduisent que cette attaque n’est pas réaliste.

Attaque par fausse voie

Cette attaque consiste à faire croire au système qu’il y a un marquage au sol, là où il n’y en a pas.

Malheureusement, les chercheurs ont découvert qu’il suffisait de poser quelques marqueurs carrés sur la chaussée afin de tromper l’autopilot, des marqueurs peut coûteux et faciles à réaliser.

Les Tesla sont donc susceptibles aux attaques par fausse voie. Ce qui correspond à l’intuition, puisque, contrairement à tous les autres constructeurs travaillant sur les véhicules autonomes, Tesla n’exploite que des caméras vidéo, afin d’économiser, alors que les autres ajoutent tous au moins un lidar à l’ensemble des capteurs.