Cariad, la filiale de Volkswagen spécialisée dans le développement de logiciels pour les véhicules du groupe allemand, a exposé par mégarde les données de 800 000 voitures électriques. Les informations étaient accessibles sur un espace de stockage en ligne sans les protections adéquates pendant des mois.
C’est le Chaos Computer Club (CCC), l’une des plus grandes et des plus anciennes organisations de hackers au monde, qui a tiré la sonnette d’alarme. Comme l’explique la filiale de Volkswagen, les données ont été exposées à la suite d’une « configuration incorrecte de Cariad dans deux applications informatiques ».
Alerté par la CCC, Cariad a promptement corrigé le tir. Dans les quelques heures après la découverte, l’accès a été coupé. La filiale précise qu’il fallait tout de même contourner plusieurs mécanismes de sécurité avant de pouvoir consulter les données.
À lire aussi : Une simple faille permet de pirater des millions de voitures Kia
Localisation des voitures et identité des conducteurs
Des voitures estampillées Volkswagen, Seat, Audi et Skoda sont affectées par la brèche. L’entreprise précise que seuls les véhicules connectés à Internet sont touchés. Les données exposées comprennent des informations personnelles sur les conducteurs, comme les noms. Surtout, le bug a exposé l’emplacement géographique précis de 460 000 des 800 000 voitures. Il était possible de localiser une voiture avec une précision de dix centimètres lorsque le moteur électrique est éteint.
C’est évidemment une catastrophe pour la confidentialité et la vie privée des utilisateurs. Comme le rapporte le média allemand Spiegel, c’est d’autant plus préoccupant que les identités des conducteurs pouvaient être déduites à l’aide des données exposées par Cariad. En effet, il était possible de combiner plusieurs des bases d’informations pour remonter jusqu’à un individu en particulier. Les experts du Chaos Computer Club l’ont d’ailleurs prouvé avant de mettre en garde Cariad. C’est de cette manière que les voitures de deux politiciens allemands ont pu être identifiées. Les données permettent « de tirer des conclusions sur la vie des personnes derrière le volant », regrette Spiegel, pointant du doigt les risques d’espionnage.
Des conducteurs français concernés
La plupart des voitures concernées se trouvent en Allemagne. Néanmoins, plus de 50 000 véhicules dont les données ont été exposées appartiennent à des conducteurs français. Plus de 60 000 des automobiles touchées circulent en Belgique. Parmi les voitures affectées, on trouve une trentaine de véhicules de la flotte de la police de Hambourg. Certains véhicules étaient utilisés par des agents des services de renseignement allemands.
Bonne nouvelle, Cariad n’a pas trouvé la moindre preuve indiquant que des cybercriminels ont eu connaissance des données exposées sur la toile. Rien n’indique donc que les informations sont tombées entre les mains de personnes malveillantes. À ce stade, « personne d’autre que le CCC n’a accédé aux systèmes et nous n’avons aucune indication d’une utilisation abusive des données par des tiers ».
Néanmoins, Cariad s’est retrouvé sous le feu des critiques. La filiale est accusée de collecter trop de données sur ses clients. L’entreprise allemande se défend et assure que « les marques du groupe Volkswagen collectent, stockent, transmettent et utilisent des données personnelles exclusivement dans le cadre de réglementations légales et d’une relation contractuelle existante, d’intérêts légitimes ou de consentement explicite du client ». Par ailleurs, les clients peuvent décider « d’utiliser ou non des produits et des services qui rendent le traitement de données à caractère personnel nécessaire ». Enfin, « tous les véhicules avec des fonctions en ligne offrent la possibilité de désactiver la collecte à tout moment », conclut Cariad.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Spiegel
