Une fuite massive de donnes du groupe Volkswagen a rvl les dplacements de 800 000 propritaires de vhicules lectriques, de leur domicile des espaces privs. Les informations sensibles ont t exposes pendant des mois sur un systme de stockage cloud non protg et mal configur. Les vhicules lectriques de VW, Audi, Seat et Skoda ont t touchs en Allemagne, en Europe et dans d’autres parties du monde. La violation de donnes a t dcouverte par un dnonciateur anonyme l’aide d’un logiciel librement accessible.
Les voitures modernes sont des ordinateurs sur roues connects Internet. Pour cette raison, ils nchappent pas aux tendances en matire dInternet des objets : collecte massive des donnes. Depuis les camras intgres ces vhicules jusquaux capteurs de poids des siges, tout est utile au sein de ces derniers pour amasser des donnes sensibles.
Une tude en 2023 de la fondation Mozilla a confirm le problme des voitures modernes : votre voiture est une espionne. L’tude avait rvl que les voitures fabriques au cours des dernires annes collectent des informations personnelles aussi sensibles que votre origine ethnique, votre poids et votre activit sexuelle. Mais plus que la collecte de donnes, les constructeurs automobiles vendent galement ces informations personnelles. Ces pratiques reprsentent un cauchemar pour la vie prive des utilisateurs.
Rcemment, un nouveau rapport provenant d’Allemagne a rvl que le groupe Volkswagen (VW) a stock des informations sensibles concernant 800 000 vhicules lectriques de diffrentes marques sur un systme de stockage dans le cloud d’Amazon mal scuris et mal configur, laissant en quelque sorte la porte numrique grande ouverte n’importe qui. Et pas seulement brivement, mais pendant des mois.
La faille concerne les modles entirement lectriques des marques Audi, VW, Seat et Skoda, et touche des vhicules non seulement en Allemagne, mais aussi dans toute l’Europe et dans d’autres parties du monde. Parmi les trsors de donnes exposes, on trouve les coordonnes GPS, les niveaux de charge de la batterie et d’autres dtails cls sur l’tat du vhicule, comme le fait de savoir s’il tait allum ou teint. En clair, quelqu’un disposant des connaissances ncessaires peut espionner les alles et venues de votre voiture et ses habitudes.
Cause et gravit de la fuite de donnes
Il y a pire. Un utilisateur plus avis pourrait apparemment relier les vhicules aux informations d’identification personnelles de leurs propritaires, grce des donnes supplmentaires accessibles par l’intermdiaire des services en ligne du groupe VW. Dans 466 000 cas sur 800 000, les donnes de localisation taient si prcises que toute personne y ayant accs pouvait crer un profil dtaill des habitudes quotidiennes de chaque propritaire.
Selon un autre rapport, la liste massive des propritaires concerns n’est pas un simple « who’s-who » de gens ordinaires. Elle comprend des politiciens allemands, des entrepreneurs, des officiers de police de Hambourg (toute la flotte de vhicules lectriques) et mme des employs prsums des services de renseignement. Oui, mme des espions ont pu tre pris dans cette dbcle numrique.
Cette erreur flagrante provient de Cariad, une entreprise du groupe VW spcialise dans les logiciels, la suite d’une erreur survenue au cours de l’t 2024. Un dnonciateur anonyme a utilis un logiciel librement accessible pour dterrer les informations sensibles et a rapidement alert le Chaos Computer Club (CCC), la plus grande association de pirates informatiques d’Europe.
Le CCC s’est empress de contacter le dlgu la protection des donnes de Basse-Saxe, le ministre fdral de l’intrieur et d’autres organismes de scurit. Il a galement donn au groupe VW et Cariad un dlai de 30 jours pour rsoudre le problme avant de le rendre public. Selon la CCC, l’quipe technique de Cariad « a ragi rapidement, de manire approfondie et responsable« , en bloquant l’accs non autoris aux donnes de ses clients.
Dans une dclaration, Cariad a rassur ses clients en affirmant qu’aucune donne sensible – comme les mots de passe ou les informations de paiement – n’avait t expose, soulignant qu’ils « n’ont pas besoin de prendre des mesures, car aucune information sensible comme les mots de passe ou les donnes de paiement n’est affecte« . Toutefois, la publication s’inquite de la facilit avec laquelle ces donnes auraient pu tomber entre de mauvaises mains, notamment celles de criminels, de fraudeurs, de matres chanteurs ou mme de harceleurs, ce qui constitue une menace srieuse pour les propritaires d’EV concerns.
Voici un rapport de la situation :
VW Group Collects Vehicle Movement Data
The Chaos Computer Club (CCC) a well-known German Group of hackers reveals that the Volkswagen Group systematically collects movement data from hundreds of thousands of vehicles from the brands VW, Audi, Skoda, and Seat and stores it over pic.twitter.com/mtsXeWqNWe
— Alex (@alex_avoigt) December 29, 2024
Le groupe VW collecte des donnes sur les dplacements des vhicules
Le Chaos Computer Club (CCC), un groupe de pirates informatiques allemand bien connu, rvle que le groupe Volkswagen collecte systmatiquement des donnes sur les dplacements de centaines de milliers de vhicules des marques VW, Audi, Skoda et Seat et les stocke sur de longues priodes.
Les donnes, y compris les informations sur les propritaires des vhicules, taient galement accessibles sur l’internet sans protection.
Grce ces donnes de dplacement, Volkswagen obtient des informations sur la vie prive quotidienne – et surtout non quotidienne – de centaines de milliers de propritaires de vhicules.
Des donnes sensibles concernant les activits militaires et de renseignement ont galement t collectes : entre autres, des enregistrements ont t trouvs dans le parking du Service fdral de renseignement (BND) et sur l’arodrome militaire de l’arme de l’air des tats-Unis Ramstein.
Les informations collectes par Cariad, filiale de VW, comprennent des dtails prcis sur le lieu et l’heure de la coupure du contact. Les donnes relatives aux dplacements sont lies d’autres donnes personnelles, ce qui permet de tirer des conclusions sur les fournisseurs, les prestataires de services, les employs ou les organismes de couverture des autorits charges de la scurit.
« Le problme est que ces donnes sont collectes et stockes pendant une priode aussi longue. Le fait qu’elles aient t mal protges ne fait qu’ajouter l’insulte l’injure« , a dclar Linus Neumann, porte-parole du Chaos Computer Club.
Le groupe VW a prouv son incomptence en ce qui concerne les donnes des vhicules et tout ce dont les gens accusent Tesla semble se produire au sein du groupe VW.
Les politiciens « choqus » exigent une action
Il est comprhensible que les hommes politiques allemands n’aient pas t ravis de se retrouver sur la liste des parties concernes. L’un d’entre eux, qui a examin les donnes ayant fait l’objet d’une fuite avec le Spiegel, a qualifi les rsultats de « choquants« , tandis qu’un autre a carrment qualifi l’incident d' »ennuyeux et embarrassant« . Tous deux ont exhort les constructeurs automobiles locaux amliorer radicalement leur systme en matire de cyberscurit.
Malheureusement, ce n’est pas la premire fois qu’un constructeur automobile manipule les donnes de ses clients. L’anne dernire, Toyota a admis une violation massive de donnes concernant 2,15 millions de propritaires de vhicules au Japon. Il est clair que l’industrie automobile doit apprendre protger les donnes des utilisateurs dans le cloud.
Parfois, cependant, il ne s’agit mme pas d’une faille de scurit. Au dbut de l’anne, le New York Times a rvl que de nombreux constructeurs automobiles vendaient des donnes sur les conducteurs au secteur de l’assurance, ce qui entranait une augmentation des primes pour de nombreux conducteurs. Parmi les procs actuels, le Texas a poursuivi le constructeur automobile General Motors pour avoir illgalement collect et vendu les donnes prives des conducteurs sans leur consentement.
Et vous ?
Quel est votre avis sur la situation ?
Pensez-vous que les corrections apportes par Cariad sont crdibles ou pertinentes ?
Voir aussi :