la fin de l’anne 2024, les chercheurs ont dcouvert une grave faille de scurit dans le systme Starlink de Subaru. Cette faille permettait d’accder des donnes prives telles que la localisation, les contacts d’urgence, l’historique des appels, etc. La faille aurait pu permettre des pirates de dverrouiller des voitures et de suivre des millions de conducteurs. Subaru a corrig la faille dans les 24 heures, mais n’a pas rsolu les problmes plus gnraux lis la protection de la vie prive.
Au cours de la dernire dcennie, l’industrie automobile a ajout la connectivit internet de nombreuses nouvelles voitures. Cette connexion est utilise par les constructeurs automobiles pour fournir des mises jour logicielles, collecter des donnes de diagnostic et suivre les dplacements du vhicule. Toutefois, les voitures connectes stockent tellement de donnes qu’elles pourraient tout aussi bien tre des dispositifs de surveillance roulants. Une enqute snatoriale avait affirm que cette situation pourrait constituer une menace srieuse pour la vie prive des Amricains.
Rcemment, des chercheurs ont rvl une nouvelle faille de scurit qui leur a permis d’accder des donnes sensibles par l’intermdiaire de la technologie Starlink de Subaru. Bien que Subaru ait corrig le problme rapidement, l’incident soulve des questions gnantes sur le degr de confidentialit de vos donnes prives l’re des vhicules connects.
Sam Curry, un chercheur en scurit, et son quipe ont dcouvert la faille en novembre 2024 alors qu’ils testaient la Subaru Impreza 2023 de sa mre, qu’il avait achete pour elle. La faille leur a permis d’accder l’historique complet de la localisation du vhicule, non pas pour un seul instant, mais pour toute l’anne. Sam Curry a dclar que les informations taient si dtailles qu’il pouvait localiser les visites chez le mdecin de sa mre, les domiciles de ses amis et mme la place de parking exacte qu’elle utilisait chaque fois qu’elle se rendait l’glise.
« Vous pouvez rcuprer au moins un an d’historique de localisation de la voiture, o elle est enregistre prcisment, parfois plusieurs fois par jour« , a dclar Sam Curry. « Que quelqu’un trompe sa femme, se fasse avorter ou fasse partie d’un groupe politique, il existe un million de scnarios dans lesquels vous pouvez utiliser cette arme contre quelqu’un.«
Mais il y a pire, bien pire. Sam Curry et son collgue Shubham Shah ont dclar avoir dcouvert des faiblesses dans un site web Subaru conu pour le personnel d’une entreprise, ce qui leur a permis de s’emparer du compte d’un employ. Ils ont ainsi pu prendre le contrle des fonctions Starlink des vhicules et accder une foule de donnes personnelles, notamment le nom du client, ses contacts en cas d’urgence, son adresse personnelle et mme le code PIN du vhicule. Ils ne s’arrtaient pas l, puisqu’ils pouvaient galement dverrouiller la voiture distance, la dmarrer et consulter son historique d’appels. Oui, c’tait aussi grave que cela.
Les pirates n’ont pas eu besoin d’un superordinateur ou d’un gadget de science-fiction pour y parvenir. Tout ce dont ils avaient besoin, c’tait du nom de famille de la victime, de la plaque d’immatriculation de la voiture, du code postal du propritaire, de son numro de tlphone ou de son adresse lectronique. Les pirates introduisaient ces informations sur un site web conu pour les employs de Subaru afin d’aider les utilisateurs de Starlink. Ils ont accd ce site par une srie d’actions bases sur des failles de scurit thoriques, puis confirmes, dans le site lui-mme.
la dcharge de Subaru, cette vulnrabilit n’existe plus. De plus, le constructeur automobile a corrig le problme moins de 24 heures aprs avoir pris connaissance de la situation. Les pirates informatiques disent avoir alert Subaru du problme 23h54 le 20 novembre. Le 21 novembre 16 heures, la vulnrabilit tait corrige et le piratage ne fonctionnait plus.
En mme temps, tout cela soulve un point plus important, savoir que les donnes prives ne semblent plus tre prives. Comme le souligne Sam Curry sur son site web, mme en l’absence d’acteurs malveillants, de nombreuses personnes ont encore accs ces donnes, savoir les employs.
« L’industrie automobile est unique en ce sens qu’un employ texan de 18 ans peut interroger les informations de facturation d’un vhicule en Californie sans que cela ne dclenche de sonnette d’alarme« , crit Sam Curry. « Cela fait partie de leur travail quotidien normal. Les employs ont tous accs un grand nombre d’informations personnelles et tout repose sur la confiance.«
Robert Herrell, directeur excutif de la Consumer Federation of California, a fait part des mmes proccupations : « Il semble qu’un certain nombre d’employs de Subaru disposent d’une quantit effrayante d’informations dtailles. Les gens sont suivis la trace d’une manire dont ils n’ont aucune ide« .
Et Subaru n’est pas le seul concern, car ce type de vulnrabilit et d’accs aux donnes est probablement un problme qui touche l’ensemble de l’industrie. Pour l’instant, il n’y a pas de solution claire, si ce n’est de refuser compltement la collecte de donnes lors de l’achat d’une voiture connecte. Bien sr, vous perdrez certaines fonctionnalits, mais cela peut valoir la peine d’empcher les regards indiscrets de pntrer dans votre entreprise.
Outre les failles de scurit, la vie prive des conducteurs est galement menace par une pratique des constructeurs automobiles. Un rapport a rvl que ces derniers partagent les donnes de conduite des conducteurs avec les compagnies d’assurance sans leur consentement explicite. Ces informations comprennent les cas d’excs de vitesse, de freinage brusque ou d’acclration rapide au cours de chaque trajet. Elles sont ensuite utilises pour gnrer des profils de risque pour les assureurs. Cette pratique aurait entran des changements significatifs dans les primes d’assurance de certains conducteurs. Ces derniers dnoncent une nouvelle forme de surveillance et une invasion dans leur vie prive, avec des impacts ngatifs.
Source : Rapport de Sam Curry
Et vous ?
Pensez-vous que ce rapport de Sam Curry est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :