Le 21 janvier 2026, lors de la première journée du Pwn2Own Automotive, la faille de cybersécurité est passée du statut de risque théorique à celui de certitude industrielle. Organisé par la Zero Day Initiative de Trend Micro, ce concours de piratage encadré a permis à des chercheurs de démontrer, en conditions réelles, la compromission de systèmes automobiles récents. Le volume et la diversité des vulnérabilités découvertes interrogent directement la capacité de l’industrie automobile à maîtriser la complexité logicielle qu’elle a elle-même créée.
37 failles critiques découvertes en quelques heures
Le principe du Pwn2Own Automotive repose sur une règle simple mais redoutable : chaque faille exploitée doit être inconnue, documentée techniquement et démontrée sur place. Aucune attaque recyclée, aucun scénario théorique. Le résultat est sans appel. En une seule journée, 37 vulnérabilités zero-day distinctes ont été validées par les organisateurs, pour un total de plus de 516 000 dollars de récompenses distribuées aux équipes.
La majorité des exploits repose sur des primitives classiques de l’exploitation moderne : débordements mémoire, écritures hors limites, fuites d’informations, puis élévation de privilèges. Autrement dit, la faille ne provient pas de techniques exotiques, mais d’erreurs fondamentales de conception logicielle. Ce constat est d’autant plus alarmant que les systèmes ciblés sont critiques. Infodivertissement, gestion réseau interne, communication avec des services distants : chaque faille ouvre une surface d’attaque potentiellement exploitable bien au-delà du véhicule lui-même.
Tesla, Sony, Alpine : l’infodivertissement comme point d’entrée
Le cas le plus emblématique reste celui de Tesla. Son système d’infodivertissement a été compromis via une chaîne d’exploitation combinant fuite mémoire et exécution de code arbitraire. Cette faille a permis aux chercheurs de prendre le contrôle du système embarqué, démontrant une rupture claire du modèle de sécurité supposé isoler les fonctions critiques.
Techniquement, l’infodivertissement concentre plusieurs facteurs de risque. Il repose sur des systèmes d’exploitation complexes, souvent dérivés de Linux, intégrant navigateurs, moteurs multimédias et piles réseau complètes. Chaque composant supplémentaire augmente la probabilité d’une faille exploitable. Le piratage observé à Tokyo montre que les mécanismes de sandboxing et de cloisonnement restent insuffisants face à des attaquants expérimentés.
Les équipements fournis par Sony et Alpine ont suivi la même trajectoire. Là encore, les chercheurs ont exploité des vulnérabilités logicielles permettant l’exécution de code. Ces systèmes, largement déployés dans des véhicules de série, deviennent ainsi des vecteurs privilégiés de compromission. La faille n’est plus périphérique : elle se situe au cœur de l’architecture numérique de l’automobile.
Ce point est crucial pour l’industrie. Une compromission de l’infodivertissement peut servir de tremplin vers d’autres réseaux internes, notamment lorsque les séparations logicielles sont mal définies ou insuffisamment auditées.
Bornes de recharge : la menace s’étend à l’écosystème
L’inquiétude ne s’arrête pas aux véhicules. Les bornes de recharge, éléments centraux de la transition électrique, ont également été massivement ciblées. Plusieurs modèles de chargeurs domestiques et rapides ont été compromis, rapportant à certaines équipes plus de 100 000 dollars cumulés. Ici encore, la faille est avant tout logicielle, liée à des interfaces réseau exposées ou à des mécanismes d’authentification défaillants.
D’un point de vue technique, ces infrastructures posent un problème majeur. Elles sont connectées en permanence, souvent administrées à distance, et interagissent avec des systèmes de facturation et de supervision. Une faille sur une borne peut devenir un point d’entrée vers des réseaux industriels ou des plateformes de gestion à grande échelle. Cette extension du périmètre d’attaque transforme la cybersécurité automobile en enjeu systémique. La voiture n’est plus un objet isolé, mais un nœud dans un réseau complexe mêlant constructeurs, énergéticiens et fournisseurs de services numériques. Chaque faille découverte au Pwn2Own Automotive illustre cette interdépendance croissante. Face à des chercheurs capables d’identifier et d’exploiter des dizaines de failles en quelques heures, la question n’est plus de savoir si les systèmes embarqués sont vulnérables, mais combien de temps ils le resteront sans un changement radical de stratégie de cybersécurité.
