Voitures connectées 2026 : 5 failles Pwn2Own que les constructeurs cachent

Q: C'est quoi Pwn2Own Automotive en pratique ?

Concours de hacking éthique annuel lancé en 2024, dédié aux véhicules connectés, IVI et bornes de recharge. Co-organisé par ZDI (Trend Micro) et VicOne, primes de 10 000 à 200 000 $ par faille, divulgation responsable 90-120 jours.

Q: Ma voiture peut-elle être piratée à distance aujourd'hui ?

Oui pour l'IVI (Bluetooth, Wi-Fi, compte constructeur), non pour les freins/direction (cas rares). Le risque principal est le vol de compte constructeur (Tesla, MyPeugeot, MyBMW) qui permet d'ouvrir et démarrer la voiture. Activez la 2FA.

Q: Qu'est-ce que la régulation UNECE R155 ?

Régulation UNECE imposant aux constructeurs un CSMS (Cyber Security Management System) certifié pour l'homologation. Obligatoire depuis le 1er juillet 2024 dans les 64 parties contractantes (UE, UK, Japon, Corée du Sud, Australie). R156 l'accompagne pour les mises à jour logicielles.

Q: Les bornes de recharge sont-elles concernées par R155 ?

Pas encore systématiquement. R155 vise les véhicules, pas les bornes. L'ETSI EN 303 645 et la directive NIS2 (2027) commencent à s'appliquer aux opérateurs de bornes en Europe.

Q: Quel est le constructeur automobile le plus cybersécurisé en 2026 ?

Pas de classement public. Trois critères : (1) capacité OTA (Tesla, Volvo, Polestar), (2) transparence des security bulletins, (3) bug bounty public actif. Les constructeurs sans bug bounty (Renault, Toyota Europe, Hyundai) sont à éviter.

Q: Que faire si ma voiture est vulnérable et que le constructeur ne patche pas ?

Trois recours : (1) Saisir la DGCCRF (garantie légale de conformité, R155 fait partie de l'homologation). (2) Saisir l'ANSSI/ENISA via le portail de signalement. (3) Demander une mise à jour par écrit au constructeur et conserver la trace.

En trois jours, à Tokyo, les meilleurs hackers éthiques du monde ont découvert 76 failles zero-day dans des voitures connectées, des bornes de recharge et des systèmes embarqués vendus en Europe. Le concours Pwn2Own Automotive 2026, co-organisé par VicOne et le Zero Day Initiative de TrendAI, s’est tenu du 20 au 22 janvier 2026 lors du salon Automotive World, et il a pulvérisé le record de l’édition précédente. Pour les acheteurs français et européens, la question n’est plus « ma voiture risque-t-elle d’être piratée ? » mais « laquelle de mes interfaces est la plus exposée, et que font les constructeurs pendant que je ne regarde pas ? ».

Sommaire

Ce dossier rassemble les cinq failles les plus parlantes, les chercheurs qui les ont trouvées, les modèles et équipements touchés, et la régulation R155/R155 qui aurait dû, en principe, prévenir ce type de risques. Tout est sourcé : chiffres officiels du concours VicOne/ZDI, base CVE de l’ENISA, et analyse PCA (Global Automotive Cybersecurity) du 12 juin 2026. On en parle aussi dans notre couverture du démantèlement du groupe Dumpsec, qui rappelle que la cybercriminelité organisée s’intéresse désormais aux flottes d’entreprise et aux objets connectés physiques, pas seulement aux sites web.

📌

Que retenir à propos de Pwn2Own Automotive 2026 ?

76 zero-days découverts en 3 jours à Tokyo (janvier 2026), un record, sur EV chargers, IVI Tesla et autres équipements automobiles.
5 failles parlantes : NFC sur Autel MaxiCharger, credentials hardcodées sur Grizzl-E, USB sur Tesla infotainment, OCPP sur bornes, compromission IVI via mémoire.
Chercheurs nommés : Synacktiv (France), Team 299, et 73 inscrits au total (autre record).
+105% de vulnérabilités auto en un an selon l’analyse PCA publiée le 12 juin 2026.
R155/R156 obligatoires depuis juillet 2024 pour toute nouvelle voiture vendue dans les 64 parties contractantes UNECE (UE, Japon, Corée, UK).

Qu’est-ce que Pwn2Own Automotive et pourquoi devrait-on s’en soucier ?

Pwn2Own est une compétition créée par le Zero Day Initiative (ZDI) de Trend Micro en 2007, qui rémunère des chercheurs en sécurité pour qu’ils découvrent et démontrent publiquement des vulnérabilités zero-day (des failles inconnues des éditeurs et des constructeurs au moment de la compétition). Le format : un constructeur ou un éditeur met à disposition un produit, les hackers disposent de quelques minutes pour le compromettre, et les failles sont ensuite révélées au constructeur via une procédure de divulgation responsable de 90 à 120 jours avant publication technique complète.

L’édition Automotive, lancée en 2024, est dédiée aux véhicules connectés, aux systèmes d’infodivertissement (IVI), aux bornes de recharge EV et à la pile logicielle qui les relie. L’édition 2026, co-organisée avec VicOne (filiale cybersécurité automobile de Trend Micro), s’est tenue à Tokyo lors du salon Automotive World, sur trois jours, et a établi deux records : 73 inscriptions (équipes et chercheurs individuels) et 76 zero-days uniques découverts, contre une cinquantaine en 2024 et 2025 cumulés.

Pour un acheteur français, ce n’est pas un événement réservé aux experts. Chaque faille démontrée à Pwn2Own correspond à un scénario d’attaque réel qu’un propriétaire de voiture, un gestionnaire de flotte ou un opérateur de bornes de recharge peut subir dans l’année qui vient. Les constructeurs touchés le savent : la pression publique du concours les pousse à patcher, mais le délai entre la démonstration et le correctif effectif déployé sur les voitures en circulation peut atteindre six à douze mois. Pendant ce temps, les voitures vendues hier sont toujours vulnérables.

Quelle est la faille n°1 : le NFC des bornes de recharge Autel ?

Première faille documentée par VicOne dans son récap du 3 juin 2026 : l’équipe française Synacktiv a compromis une borne Autel MaxiCharger AC Elite Home 40A via une simple attaque NFC (communication en champ proche, la même technologie que le paiement sans contact). Une seule tape NFC a suffi à déclencher un stack-based buffer overflow dans le parser embarqué de la borne, et à obtenir l’exécution de code arbitraire sur le contrôleur de charge. TrendAI ZDI a confirmé que c’était une première : jamais auparavant une attaque NFC n’avait été démontrée publiquement pour compromettre un chargeur EV.

⚠️ Pourquoi c’est grave : un impact direct sur la facturation et la sécurité physique

Une borne de recharge compromise n’est pas un simple objet connecté dérobé : un attaquant peut modifier la puissance de sortie (donc griller la wallbox d’un particulier ou d’une flotte), fausser la facturation (l’énergie consommée est comptée par la borne, pas par le véhicule), et dans certains cas échanger des paquets OCPP malveillants avec le backend de l’opérateur. Pour une entreprise qui gère 50 bornes sur un parking, c’est un point d’entrée pour pénétrer le réseau informatique de l’entreprise elle-même. La borne est en général sur le même VLAN que le système de gestion technique du bâtiment.

Pour les acheteurs, deux conséquences directes :

Si vous avez installé une Autel MaxiCharger AC Elite Home 40A chez vous ou dans vos locaux, vérifiez la disponibilité d’un firmware correctif (Autel publie normalement un bulletin dans les 60 à 90 jours suivant la divulgation ZDI). En attendant, désactivez la fonction NFC de paiement si elle n’est pas indispensable, et isolez la borne sur un VLAN dédié.
L’attaque NFC nécessite une proximité physique de quelques centimètres, ce qui limite l’exploitation à distance. Mais elle peut être combinée à un relais NFC caché, ou automatisée par un robot de passage type « war driving NFC » dans un parking d’entreprise.

Le problème de fond dépasse Autel : selon VicOne, la plupart des fabricants de bornes grand public intègrent du code embarqué avec peu de protections mémoire-safe (pas de Rust, peu de stack canaries, peu d’ASLR sur l’embarqué). Tant que ce socle ne change pas, la même classe de faille reviendra chez d’autres marques. La régulation UNECE R155 impose des CSMS (Cyber Security Management Systems) aux constructeurs automobiles, mais ne s’applique pas encore systématiquement aux fabricants de bornes de recharge, qui sont considérés comme du matériel électrique et non comme des véhicules.

Quelle est la faille n°2 : les credentials en dur sur la Grizzl-E ?

Deuxième faille documentée : la Team 299 (équipe de recherche russophone réputée dans le milieu) a exploité deux vulnérabilités combinées sur la borne Grizzl-E Smart 40A, un modèle très répandu en Amérique du Nord et en train d’être déployé en Europe par des opérateurs comme FLO et Electra.

Les deux CVE classées par Mitre sont :

CWE-798 (Use of Hard-coded Credentials) : présence d’identifiants administrateur codés en dur dans le firmware de la borne, accessibles sans authentification via une API de debug.
CWE-494 (Download of Code Without Integrity Check) : la borne accepte des mises à jour firmware sans vérification cryptographique de signature, ce qui permet à un attaquant d’injecter un firmware malveillant en utilisant les credentials hardcodées.

La combinaison des deux transforme la borne en point d’entrée permanent sur le réseau de l’opérateur. Les credentials sont les mêmes pour toute la flotte déployée, donc une seule borne compromise permet de pivoter vers les autres bornes, le système de facturation, et potentiellement le SI de l’opérateur. C’est le scénario redouté par les CISO de l’énergie, et c’est exactement ce qui s’est passé lors de la cyberattaque contre la télématique russe en janvier 2026, où des centaines de véhicules sont restés incapables de démarrer pendant deux semaines.

Pour un particulier ou une PME qui exploite ces bornes, la recommandation immédiate est de vérifier que la borne est sur un réseau isolé (VLAN ou SSID dédié), qu’elle n’est pas exposée sur Internet (pas de NAT, pas de port forwarding), et que le firmware a été mis à jour après juillet 2026. Les modèles récents de bornes intègrent maintenant un TPM ou un secure element, mais les modèles déployés avant 2024 sont très souvent concernés.

Quelle est la faille n°3 : le port USB qui compromet Tesla ?

Troisième faille, et pas la moindre : Synacktiv a réussi à compromettre le système d’infodivertissement (IVI) d’une Tesla en branchant simplement une clé USB. Le scénario, documenté par VicOne dès le Day 1 du concours : les chercheurs ont enchaîné une fuite d’information (information leak, qui révèle des adresses mémoire utiles) avec un out-of-bounds write (écriture hors limites, qui permet de détourner le flux d’exécution). Le tout via le port USB, accessible physiquement à toute personne qui touche la voiture pendant quelques secondes : mécanicien, valet, technicien de maintenance, complice dans un parking.

L’intérêt pédagogique de cette démonstration est de montrer qu’une chaîne d’exploitation réaliste combine souvent deux vulnérabilités mémoire individuellement peu critiques. La fuite d’information seule ne compromet pas la voiture. L’out-of-bounds write seul non plus. Mais les deux ensemble permettent un contrôle total de l’IVI en moins de 30 secondes.

Pour les propriétaires de Tesla en France, il faut distinguer deux scénarios :

Risque direct : compromettre l’IVI ne donne pas accès à la direction ou aux freins. L’architecture Tesla sépare physiquement (et cryptographiquement) l’IVI du gateway véhicule. Mais cela permet d’accéder aux comptes connectés, à l’historique de navigation, à la liste des contacts synchronisés via Bluetooth, et potentiellement d’ouvrir la voiture via l’app Tesla (si l’attaquant a aussi accès au compte).
Risque de pivot : sur les Tesla plus anciennes (avant 2022) ou sur les versions logicielles non patchées, l’isolation IVI/gateway est moins stricte. Un attaquant pourrait tenter de traverser vers le CAN bus véhicule. Tesla publie généralement un correctif OTA (over-the-air) dans les 30 jours après une divulgation ZDI, mais le déploiement passif sur les voitures en circulation prend plus de temps.

Pour les possesseurs de Tesla en Europe, la recommandation est de surveiller les mises à jour logicielles (qui sont OTA) et de ne pas laisser la voiture sans surveillance dans des endroits à risque (parkings d’aéroport, déposes-minute, ateliers non certifiés). Pour les gestionnaires de flotte Tesla en entreprise, il est possible de désactiver l’USB data (uniquement charge) via les options de configuration du véhicule, au prix d’une perte de fonctionnalité pour les passagers.

Quelle est la faille n°4 : le protocole OCPP des bornes de recharge ?

Quatrième classe de faille mise en évidence : le protocole OCPP (Open Charge Point Protocol), standard mondial de communication entre bornes de recharge et backends opérateurs. ZDI avait déjà documenté en octobre 2025 (avant le concours) que plusieurs implémentations OCPP présentaient des vulnérabilités critiques. Pwn2Own Automotive 2026 a confirmé que ces failles sont toujours exploitables, et que plusieurs bornes de marques différentes sont concernées.

Le problème d’OCPP est structurel : le protocole a été conçu en 2009 pour des communications peu sensibles, et les versions 1.6 et 2.0.1 n’imposent pas de chiffrement de bout en bout, ni d’authentification forte des bornes auprès du backend. Résultat : un attaquant qui peut se positionner en man-in-the-middle (par exemple via un rogue Wi-Fi sur le parking, ou via une compromission DNS) peut injecter des commandes de charge frauduleuses, voler des sessions utilisateur, ou exfiltrer des données de paiement.

L’OCPP 2.0.1 corrige partiellement ces problèmes avec un profil de sécurité basé sur TLS mutuel, mais le déploiement chez les opérateurs est lent, et la rétrocompatibilité avec les anciennes bornes est un frein. Si vous gérez un réseau de bornes (entreprise, collectivité, syndic de copropriété), vérifiez auprès de votre opérateur qu’il utilise bien OCPP 2.0.1 avec authentification mutuelle par certificats, et que les bornes sont isolées sur un VLAN séparé du SI général.

Quelle est la faille n°5 : les attaques latérales sur l’IVI et la mémoire partagée ?

Cinquième classe, plus diffuse mais tout aussi inquiétante : les vulnérabilités mémoire dans les systèmes IVI non-Tesla. Les Day 2 et Day 3 du concours Pwn2Own Automotive 2026 ont montré que les head units grand public (Marque-generic, basées sur Android Automotive OS ou sur des Linux embarqués propriétaires) sont vulnérables à des chaînes out-of-bounds read, use-after-free, et integer overflow similaires à celles de la faille Tesla. Les démonstrations ont visé des marques comme Alpine, Pioneer, et des équipementiers Tier 1 (Harman, Bosch, Continental) qui fournissent les IVI à de nombreux constructeurs.

Le problème est que ces vulnérabilités affectent des centaines de modèles de voitures, sans qu’un seul patch ne puisse tout couvrir. Les constructeurs automobiles dépendent de leurs fournisseurs IVI pour les correctifs, et la chaîne de responsabilité (constructeur → Tier 1 → éditeur de l’OS → éditeur du SoC) est complexe. Résultat : un correctif peut mettre 6 à 18 mois à atteindre les voitures en circulation, contre quelques jours pour un correctif smartphone ou PC.

C’est exactement ce qu’a documenté le rapport PCA Global Automotive Cybersecurity publié le 12 juin 2026 (semaine dernière) : +105% de vulnérabilités automobiles détectées en un an, avec un délai moyen de correction de 294 jours pour les constructeurs et 412 jours pour les équipementiers Tier 2. Le rapport note aussi que 56,9% des cyberattaques automobiles en 2025 sont passées par la supply chain (un fournisseur compromis qui sert de tête de pont), et que le coût global de la cybercriminalité automobile a dépassé les 20 milliards de dollars en 2025 selon une autre étude du secteur relayée par Auto-Journal.

Que font (et que ne font pas) les constructeurs ?

La réponse courte : ça dépend. Les constructeurs matures en OTA (Tesla, mais aussi Volvo, Polestar, les marques du groupe Volkswagen depuis 2024) peuvent pousser un correctif à distance sur la majorité de leur parc en quelques semaines. Les constructeurs legacy (qui passent par le concessionnaire pour toute mise à jour logicielle) mettent parfois plus d’un an à corriger une faille critique, pendant que leurs voitures restent vulnérables.

La régulation européenne UNECE R155, obligatoire depuis le 1er juillet 2024 pour toute nouvelle voiture vendue dans les 64 parties contractantes UNECE (UE, UK, Japon, Corée du Sud, Australie), impose aux constructeurs de mettre en place un CSMS (Cyber Security Management System) certifié. En théorie, cela inclut la surveillance des vulnérabilités, la gestion des correctifs, et la notification des régulateurs en cas d’incident. En pratique, les audits R155 sont encore récents et le niveau d’application varie fortement d’un État à l’autre. La régulation R156 (Software Update Management System) accompagne R155 pour garantir que les OTA sont signés et authentifiés.

Ce que les constructeurs ne font pas, ou pas encore :

Divulguer publiquement les vulnérabilités corrigées. La plupart publient un « security bulletin » vague, sans détail technique ni liste d’identifiants CVE. C’est le contraire de la philosophie open source, et ça empêche les chercheurs indépendants de vérifier que les correctifs sont complets.
Étendre la garantie logicielle au-delà de 3 à 5 ans. Une voiture vendue en 2026 a une durée de vie typique de 12 à 15 ans, mais le support logiciel actif s’arrête souvent à 7-8 ans, et le support sécurité à 5 ans. Après, c’est le désert.
Isoler l’IVI du gateway véhicule de manière vérifiable. Les architectures modernes utilisent des hyperviseurs et des TPM, mais l’isolation est rarement testée par un tiers indépendant.

Pour les acheteurs, la question pratique à poser au concessionnaire est : « Quelle est la durée de support logiciel et sécurité pour ce modèle ? ». Les constructeurs qui s’engagent par écrit sur 10 ans (Volvo, Polestar) sont rares.

Que pouvez-vous faire pour protéger votre voiture en 2026 ?

Vous n’êtes pas ingénieur automobile, et vous n’avez pas à le devenir. Mais quelques gestes simples réduisent fortement votre surface d’attaque, sans aucune compétence technique :

Que faut-il faire en pratique pour protéger sa voiture ?

Appliquer les mises à jour OTA dès qu’elles sont proposées (Tesla, Volvo, Polestar, etc.)
Vérifier que la borne de recharge à domicile est sur un VLAN ou un SSID Wi-Fi dédié
Activer l’authentification à deux facteurs sur l’application constructeur (Tesla, MyPeugeot, etc.)
Changer le mot de passe par défaut de toute borne de recharge ou wallbox
Demander au concessionnaire la durée de support logiciel du modèle acheté

Que faut-il éviter absolument pour ne pas exposer sa voiture ?

Brancher une clé USB tierce sur le port USB data de la voiture
Laisser la voiture sans surveillance dans des parkings d’aéroport ou d’atelier non certifié
Exposer la borne de recharge sur Internet via NAT ou port forwarding
Utiliser le même mot de passe constructeur que sur d’autres comptes (email, banque)
Ignorer les rappels de mise à jour logicielles pendant plus de 3 mois

Si vous êtes une entreprise ou une collectivité qui gère une flotte de véhicules connectés ou un réseau de bornes de recharge, la démarche est plus structurée. Il faut traiter la flotte comme un parc IoT : inventaire exhaustif, segmentation réseau, surveillance des flux, plan de réponse à incident, et veille active sur les bulletins ZDI et les CVE du secteur automobile. La norme ISO/SAE 21434 (cadre technique de référence, pas une obligation légale) et la régulation R155 (obligatoire pour les constructeurs) sont les deux socles à connaître.

Quelles sont les 6 questions clés sur la cybersécurité automobile en 2026 ?

C’est quoi Pwn2Own Automotive en pratique ?▼

Pwn2Own Automotive est un concours de hacking éthique annuel, lancé en 2024, dédié aux véhicules connectés, aux IVI (systèmes d’infodivertissement) et aux bornes de recharge. Co-organisé par le Zero Day Initiative (ZDI) de Trend Micro et VicOne, il se tient pendant le salon Automotive World. Les chercheurs disposent de quelques minutes pour compromettre un produit mis à disposition par un constructeur ou un éditeur. Les failles sont ensuite révélées au constructeur via une procédure de divulgation responsable de 90 à 120 jours, et les primes versées vont de 10 000 à 200 000 dollars par faille.

Ma voiture peut-elle être piratée à distance aujourd’hui ?▼

Oui pour certaines classes d’attaque (compromission IVI via Bluetooth ou Wi-Fi à proximité, vol de compte constructeur via phishing, exploitation de vulnérabilités télématiques non patchées). Non pour d’autres (prise de contrôle des freins ou de la direction à distance, c’est très rare et limité à des modèles anciens). Le risque principal pour un particulier reste le vol du compte constructeur (Tesla, MyPeugeot, MyBMW, etc.) qui permet à un attaquant de géolocaliser, d’ouvrir, voire de démarrer la voiture à distance. Activez la double authentification sans attendre.

Qu’est-ce que la régulation UNECE R155 ?▼

La régulation UNECE R155 impose aux constructeurs automobiles de mettre en place un CSMS (Cyber Security Management System) certifié pour obtenir l’homologation de leurs véhicules. Elle est obligatoire depuis le 1er juillet 2024 dans les 64 parties contractantes UNECE (UE, UK, Japon, Corée du Sud, Australie notamment). La R156 l’accompagne pour la gestion des mises à jour logicielles (SUMS). En France, c’est l’UTAC qui réalise les audits.

Les bornes de recharge sont-elles concernées par R155 ?▼

Pas encore systématiquement. R155 vise les véhicules, pas le matériel de recharge, qui relève de la directive basse tension et des normes CEI 61851. Les fabricants de bornes n’ont pas l’obligation d’avoir un CSMS certifié, ce qui explique en partie pourquoi les bornes Autel et Grizzl-E ont été compromises si facilement à Pwn2Own. Cela dit, l’ETSI EN 303 645 (norme cybersécurité IoT grand public) et la directive NIS2 (à partir de 2027) commencent à s’appliquer aux opérateurs de bornes en Europe.

Quel est le constructeur automobile le plus cybersécurisé en 2026 ?▼

Aucun classement public définitif n’existe, mais trois critères séparent les bons des mauvais élèves : (1) capacité OTA : Tesla, Volvo, Polestar, et les marques du groupe Volkswagen depuis 2024 peuvent patcher à distance, contrairement à la plupart des constructeurs legacy. (2) Transparence : Tesla publie un security bulletin régulier, Mercedes et BMW sont plus opaques. (3) Bug bounty public : Tesla verse jusqu’à 15 000 $ par faille critique, Mercedes jusqu’à 10 000 €, Stellantis a un programme limité. Les constructeurs sans bug bounty public (Renault, Toyota Europe, Hyundai) sont à éviter si la cybersécurité est un critère pour vous.

Que faire si ma voiture est vulnérable et que le constructeur ne patche pas ?▼

Trois recours concrets : (1) Saisir la DGCCRF si la voiture est encore sous garantie ou si le défaut de sécurité rend le véhicule non conforme (la R155 fait partie des obligations d’homologation). (2) Saisir l’ANSSI ou l’ENISA via le portail de signalement de vulnérabilités, qui peut pousser le constructeur à réagir. (3) Demander une mise à jour de sécurité par écrit au constructeur et conserver la trace. Si le constructeur refuse et que la faille est publique, vous pouvez invoquer la garantie légale de conformité (Code de la consommation, articles L. 217-3 et suivants). Pour les flottes d’entreprise, le levier le plus efficace reste contractuel : exiger un SLA de patch dans le contrat d’achat ou de leasing.

Alexi Tauzin

🤖 Éditeur & Analyste IA

Fondateur d’alexitauzin.com, entrepreneur digital et analyste des technologies émergentes. Passionné par la cybersécurité, l’intelligence artificielle et leurs impacts concrets sur la vie numérique des Français.

En savoir plus ➔