Le journal allemand Handelsblatt a reçu un gros paquet de la part d’un ancien employé Tesla : 23 000 fichiers qui représentent plus de 100 Go de données internes. Ces « Tesla files », comme les nomme le quotidien spécialisé dans l’économie, ont été certifiés puis analysés pendant six mois par une dizaine de journalistes qui viennent de révéler les carences du constructeur en matière de gestion des données personnelles. Les documents contiennent en effet des informations privées de plusieurs centaines de milliers d’employés et de clients, avec un accès anormalement aisé à ces données.
Alors que des enquêtes juridiques ont d'ores et déjà été lancées, les articles publiés à ce jour par le journal ne couvrent pas encore tout ce que ces fichiers renferment. Ces premiers éléments sont toutefois riches en enseignements, principalement sur la politique interne de l’entreprise et notamment sa calamiteuse gestion des données sensibles. Le quotidien a aussi collecté des informations sur les problèmes rencontrés par les clients et sur l’absence volontaire de toute communication lorsque cela arrive.
Un manque de rigueur évident dans la gestion des données sensibles
L’un des articles publiés par Handelsblatt s’intéresse tout particulièrement à la récupération des données. Comment est-ce que des journalistes allemands ont pu accéder à 23 398 fichiers internes de Tesla, dont 1 015 tableurs Excel, 1 388 fichiers PDF ou encore 213 présentations PowerPoint ? La majorité de ces documents qui dépassent les 100 Go est confidentielle et n’aurait jamais dû sortir de l’infrastructure du constructeur américain. Certains décrivent ainsi des produits à venir, dont une présentation des défauts sur un prototype du CyberTruck qui devrait sortir en fin d’année. D’autres contiennent des informations privées sur des employés ou des clients de Tesla.
Le quotidien ne nomme naturellement pas sa source, mais indique avoir été contacté en novembre 2022 par un employé qui aurait tenté d’alerter Tesla en interne sur sa mauvaise gestion des données privées. Faute de réponse de la part de son employeur, il a choisi d’alerter la presse sur ces mauvaises pratiques et il a envoyé quelques fichiers pour prouver son identité. Les journalistes ont alors entamé une longue enquête, notamment car ils ont pris un grand soin à vérifier la véracité des données à leur disposition.
Le Fraunhofer SIT, un centre de recherches allemand spécialisé dans la cyber sécurité et la protection de la vie privée, n’a relevé aucune trace de falsification. Le Handelsblatt a aussi utilisé la liste de 100 000 employés actuels et passés contenue dans les Tesla files pour contacter des personnes toujours en poste. Ceux qui ont accepté de répondre anonymement ont pu valider la véracité des données, l’un d’eux a par exemple confirmé que le salaire affiché dans la liste était exact au centime près. Ce fastidieux travail de vérification réalisé dans plusieurs pays était presque inutile, puisque c’est finalement Tesla qui a directement certifié l’authenticité des fichiers.
Comme le veut la coutume, le journal a en effet contacté l’entreprise américaine avant de publier son dossier. Pas moins de 65 questions ont été transmises à Tesla, avec suffisamment de temps pour lui laisser répondre et éventuellement inclure ses réponses dans les articles. Fidèle à ses habitudes, la firme d’Elon Musk n’a répondu à aucune question, mais elle a malgré tout réagi. Le quotidien allemand a ainsi reçu un courrier de l’un des avocats de Tesla qui a confirmé qu’un ancien employé mécontent était bien à la source de la fuite. Le document précise même qu’il s’agissait d’un technicien, une information que les journalistes n’auraient sans doute même pas donnée pour protéger leur source.
Si les avocats s’en sont mêlés, c’est parce que Tesla a tenté de montrer les dents et d’empêcher le Handelsblatt de publier son enquête, en demandant une suppression immédiate de tous les fichiers. Le rédacteur en chef a publié un édito pour justifier son choix en notant que les informations extraites des fichiers étaient d’intérêt général. Il faut noter que ce n’est pas la première fois que le constructeur automobile est pointé du doigt pour sa mauvaise gestion des données personnelles. En avril, une enquête de Reuters indiquait que les flux vidéo enregistrés par ses voitures étaient partagées entre employés hors du strict cadre du travail.
Des employés Tesla auraient partagé entre eux les vidéos enregistrées par les voitures
Puisque Tesla l’a confirmé officiellement et peut-être à son insu, on ne peut plus douter de la véracité des Tesla files ni de leur origine. Aussi incroyable que cela puisse paraître, ce n’est pas un cadre haut placé qui avait accès à toutes ces informations. Un technicien qui travaillait dans un centre de service Tesla avait manifestement un accès suffisant pour obtenir des données aussi sensibles que les adresses personnelles et autres numéros de sécurité sociale ou de permis de tous ses collègues, y compris d’Elon Musk. Même si l’entreprise américaine est organisée différemment, il faut imaginer un employé d’une concession ayant accès à tous les fichiers confidentiels de la maison-mère.
