Un récent incident a révélé que les données de 800 000 propriétaires de véhicules électriques Volkswagen, dont des informations de localisation et des données personnelles, ont été exposées en ligne à cause d’une erreur de configuration. Cette situation soulève de graves préoccupations concernant la sécurité des données dans l’ère des voitures connectées.
Oops: Dans une autre illustration des dangers de notre ère des voitures connectées, une fuite de données d’une filiale de Volkswagen a révélé des informations, y compris des données de localisation, de 800 000 propriétaires de véhicules électriques. Les données exposées étaient disponibles en ligne, touchant les propriétaires de VW, Audi, Seat et Skoda.
Les données privées de Cariad, qui développe des logiciels pour Volkswagen, ont été accessibles en ligne pendant plusieurs mois, selon le média allemand Spiegel Netzwelt. Cela incluait des informations de contact ainsi que des données de mouvement pour les propriétaires de véhicules Volkswagen et d’autres marques de la société en Allemagne, en Europe et dans d’autres parties du monde.
Dans certains cas, les données comprenaient des emails, des numéros de téléphone et des adresses des conducteurs. Des détails sur les endroits où les véhicules électriques avaient été démarrés et éteints étaient également disponibles.
Pour 460 000 des 800 000 véhicules concernés par la fuite, les données de localisation étaient précises à 10 centimètres pour les véhicules Volkswagen et Seat, et à 10 km pour les Audi et Skoda électriques. Spiegel rapporte que des politiciens allemands, des entrepreneurs et l’ensemble de la flotte de véhicules électriques de la police de Hambourg étaient sur la liste des propriétaires, et il est même suspecté que des employés des services de renseignement aient également été concernés par la fuite.
Comme nous l’avons vu de nombreuses fois auparavant avec ce genre d’incidents, les données étaient accessibles parce qu’elles avaient été laissées sur un service de stockage cloud Amazon non protégé et mal configuré.
Les informations divulguées seraient issues du logiciel utilisé dans les véhicules électriques Volkswagen. Les données ont été mises en avant par l’association de hackers Chaos Computer Club (CCC), qui a été alertée par un hacker anonyme. Le club a contacté le ministère fédéral de l’Intérieur allemand et la police d’État, qui ont donné à Volkswagen et Cariad 30 jours pour remédier à la situation avant de rendre l’affaire publique.
Volkswagen indique que l’erreur a désormais été corrigée et que les informations ne sont plus accessibles. Le constructeur ajoute que les mots de passe et les informations de paiement n’étaient pas dans la fuite, et que seuls certains véhicules inscrits aux services en ligne étaient initialement à risque.
Le constructeur a également précisé que les données avaient été accessibles grâce à un processus multistage très complexe, et que les hackers du CCC n’avaient pu accéder qu’à des données de véhicules pseudonymisées après avoir contourné plusieurs mécanismes de sécurité, ce qui nécessitait un niveau d’expertise élevé et un investissement de temps considérable.
Cela n’est pas la première fuite de ce type pour un constructeur automobile. En 2023, Toyota a présenté ses excuses après avoir découvert qu’un serveur mal configuré avait exposé certaines données clients sur le web pendant près d’une décennie.
Ces incidents soulignent les problèmes liés aux voitures connectées et au partage d’informations clients. Une étude de Mozilla en 2023 a montré que les 25 marques de voitures examinées collectaient trop de données personnelles et les utilisaient à d’autres fins que celles d’opérer votre véhicule et de gérer leur relation avec le client. La conclusion de Mozilla est que les voitures modernes sont un “cauchemar en matière de vie privée”.