Des chercheurs viennent de démontrer qu'une Tesla Model 3 et un Cybertruck peuvent être compromis sans aucune action du conducteur, à distance. La porte d'entrée des pirates ? Un composant que personne n'a jamais soupçonné.
Des chercheurs de l'université Northeastern ont publié, le 17 février 2026, une étude révélant des failles critiques dans les Tesla Model 3 et Cybertruck. Ces résultats prolongent une série noire pour la marque, déjà piratée via un drone il y a quelques années et ciblée à travers ses bornes de recharge. Cette fois, la brèche venait du cœur même du véhicule.
Comment des capteurs de pneus ouvrent l'accès aux systèmes critiques d'une Tesla
La vulnérabilité la mieux documentée, référencée CVE-2025-2082, obtient un score de 7,5 sur 10 à l'échelle CVSS. Elle cible le module VCSEC (Vehicle Controller Secondary), chargé des verrouillages, du démarrage et des communications de sécurité. En falsifiant les réponses du capteur de pression des pneus (TPMS), un attaquant provoque un débordement d'entier dans la mémoire du module.
Il peut ensuite y exécuter du code malveillant. Une fois ce point franchi, l'accès au bus CAN, le réseau interne qui régit le freinage et l'accélération, est à portée. Aucune action du conducteur n'est requise. Il suffit d'être dans le rayon des communications sans fil courtes du véhicule. La faille a été identifiée par l'équipe française de Synacktiv, Thomas Imbert, Vincent Dehors et David Berard, lors du concours Pwn2Own Vancouver 2024. Tesla a corrigé le problème dans la mise à jour 2024.14, déployée en octobre 2024.
Ce que cette affaire révèle des angles morts de la cybersécurité automobile
Ce qui dérange, ce n'est pas seulement la faille. La mémoire du module VCSEC était configurée pour être lisible, modifiable et exécutable en même temps. Cette configuration, bannie depuis des années en informatique classique, facilitait précisément ce type d'attaque. C'est moins un défaut isolé qu'un symptôme d'une ingénierie automobile peu habituée à l'adversaire numérique.
Synacktiv démontre des failles dans des Tesla à chaque édition de Pwn2Own depuis 2022. Ce n'est pas un hasard. C'est la preuve que la surface exposée de ces véhicules reste étendue, malgré les correctifs réguliers. La mise à jour à distance est un atout de Tesla. Mais elle suppose que les propriétaires maintiennent leur véhicule à jour, ce qui reste une hypothèse fragile.
Quand un capteur de pneu ouvre une porte dérobée vers les freins, ce n'est plus votre vie privée qui est menacée, c'est votre vie tout court.
