Ouvrir le menu principal

MacGeneration

Recherche

Les données de 800 000 véhicules du groupe Volkswagen étaient librement accessibles

Nicolas Furno

mardi 31 décembre 2024 à 09:40 • 64

Mobilités

Cariad, la filiale du groupe Volkswagen en charge du logiciel, a laissé les données de 800 000 véhicules en libre accès pendant des mois sur des serveurs gérés par Amazon. C’est ce que le journal allemand Spiegel a révélé à partir de recherches menées conjointement avec le Chaos Computer Club (CCC), l’une des plus grosses organisations de hackers en Europe. Le club a été informé de la faille par un lanceur d’alerte et il a pu récupérer plusieurs téraoctets de données, avec notamment tous les mouvements des véhicules concernés. De quoi reconstituer la vie de centaines de milliers de conducteurs, dont plusieurs politiciens et autres figures publiques.

L’ID.4 de Volkswagen, l’une des voitures concernées par la fuite accidentelle des données. Image Volkswagen.

Les voitures modernes sont de plus en plus des ordinateurs sur roue, celles du groupe Volkswagen tout autant que la concurrence. Si le mouvement a été en grande partie lancé par Tesla, on retrouve la même philosophie partout, surtout dans les voitures électriques où les composants électroniques sont couramment contrôlés par des programmes informatiques qui peuvent être mis à jour. Cela passe aussi par la mise en place d’infrastructures serveur pour collecter les données envoyées par les véhicules et les exploiter, notamment à travers des apps mobiles qui servent à contrôler la voiture à distance.

Six mois en Tesla : un ordinateur sur roues, pour le meilleur et pour le pire

Six mois en Tesla : un ordinateur sur roues, pour le meilleur et pour le pire

Comme tous ses concurrents, l’entreprise allemande a créé une infrastructure pour ses véhicules connectés. C’est Cariad qui a tout géré en interne, une tâche complexe qui a d’ailleurs été menée à bien avec beaucoup de difficultés et en provoquant au passage plusieurs retards. On peut imaginer que face à la pression, des erreurs ont pu être commises, comme la faille de sécurité le prouve bien. La filiale de Volkswagen a ainsi admis auprès du Spiegel avoir mal configuré l’un des serveurs, en précisant qu’à sa connaissance, seul le CCC avait eu accès aux données avant le correctif.

Le groupe allemand essaie de rassurer en notant que les clients n’ont aucune action à entreprendre, puisqu’aucune information sensible n’a été diffusée, ni mots de passe, ni moyens de paiement. C’est vrai, mais c’est une manière bien légère de considérer la fuite de ces données qui sont bel et bien sensibles. En effet, la position de 460 000 véhicules dans la base de données était accessible, avec une précision qui pouvait atteindre 10 centimètres, ce qui permet d’établir très simplement des profils. Le quotidien donne ainsi plusieurs exemples, comme ce politicien allemand qui rend régulièrement visite à son père en maison de retraite, se gare parfois près d’installations militaires qu’il doit visiter dans le cadre de son travail et a pris des vacances au printemps dernier dans l’Allgäu, au sud de l’Allemagne.

On peut imaginer tous les détournements malveillants si ces informations tombaient entre de mauvaises mains. La position de votre voiture permet de connaître votre lieu d’habitation et de travail, l’endroit où vos enfants vont à l’école, vos lieux préférés pour faire vos courses et même les adresses de vos proches. Parmi les données analysées par le CCC, on trouve notamment tous les déplacements des 35 voitures électriques de la police de Hambourg. Le club a même déniché des exemples de voitures régulièrement garées près de bâtiments liés au renseignement ou encore de l’aéroport américain de Ramstein, des informations qui intéresseraient fortement de nombreuses puissances dans le monde.

Le poste de conduite de l’ID.7, avec l’écran tactile connecté à internet qui trône au milieu du tableau de bord. Image Volkswagen.

Ce n’est pas une donnée à traiter à la légère et la mauvaise configuration de Cariad est pour le moins gênante. D’autant que l’on parle d’un énorme volume : 800 000 voitures du groupe Volkswagen dans toute l’Europe — dont 53 000 en France — et de multiples modèles de Volkswagen, Skoda, Audi et Seat sont affectés. Plus grave encore, il ne s’agissait pas de quelques jours seulement de données, avec des informations qui remontent à l’année dernière pour certains véhicules. Dans le détail, la fuite est pire pour les modèles de Volkswagen et Seat avec une précision des positions mémorisées de l’ordre de 10 cm, tandis qu’Audi et Skoda ne stockaient qu’une localisation moins précise, à 10 km près.

Même si ces données ne sont pas directement liées aux noms des propriétaires, le CCC a trouvé un moyen d’associer chaque véhicule de la base de données à un profil créé avec l’app associée. De quoi obtenir d’autres informations personnelles, comme l’adresse mail et parfois même des adresses postales et numéros de téléphone. Cariad a rapidement modifié ses serveurs suite aux communications du CCC à la fin du mois de novembre, si bien que ces données ne sont effectivement plus accessibles publiquement. On ne sait pas encore si des conséquences juridiques sont à prévoir, le groupe Volkswagen pourrait avoir à répondre à la justice dans le cadre du RGPD européen.

Faute de mieux, les marques du groupe Volkswagen permettent à leurs clients de désactiver les fonctions connectées, ce qui met aussi fin à l’envoi de données. Cela dit, ils perdront alors plusieurs fonctionnalités, la principale étant le contrôle à distance du véhicule depuis l’app, bien utile notamment pour suivre une charge rapide pendant une pause. Au-delà de la faille de sécurité, une entreprise ne devrait pas pouvoir collecter autant de données sensibles sans obtenir une autorisation éclairée de la part de ses clients. Le manque de transparence sur les données collectées et stockées reste malheureusement la norme.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Résultats Apple : l'iPad et le Mac à la fête, l'iPhone en difficulté

30/01/2025 à 23:10

• 27


Le Pentagone bloque l’accès à DeepSeek à ses employés, après avoir constaté de nombreux accès au chatbot

30/01/2025 à 21:45

• 4


Payer son ticket avec sa carte bancaire dans les transports parisiens, ce n’est pas pour demain

30/01/2025 à 21:29

• 57


Le fondateur de TSMC explique pourquoi Apple a abandonné Intel

30/01/2025 à 15:01

• 23


Meta accepte de payer 25 millions de dollars à Donald Trump pour avoir banni ses comptes en 2021

30/01/2025 à 12:17

• 95


Promo générale sur les Apple Watch SE et Series 10 aluminium et titane

30/01/2025 à 09:19

• 9


Promo sur des Apple Pencil, Magic Mouse et Magic Keyboard

30/01/2025 à 07:50

• 2


Aperty : l'allié parfait des photographes de portraits professionnels et semi-professionnels est là 📍

29/01/2025 à 23:33


Des actionnaires mettent en doute la vertu d’Apple concernant les données d’entraînement de son IA

29/01/2025 à 21:30

• 17


Comment faire tourner DeepSeek-R1 (ou un autre LLM) sur votre Mac

29/01/2025 à 17:23

• 14


Promo : le Mac mini M2 Pro 16/512 Go à 770 € 🆕

29/01/2025 à 17:00

• 20


Promo : la console portable ROG Ally d’Asus à seulement 470 €

29/01/2025 à 16:30

• 16


OpenAI affirme que DeepSeek a siphonné ses données pour entrainer ses modèles

29/01/2025 à 15:30

• 110


Deux failles des dernières puces Apple Silicon permettent d’extraire des données de Safari et Chrome à distance

29/01/2025 à 11:00

• 45


Office pour Mac colle ses premiers widgets sur le bureau

29/01/2025 à 10:21

• 23


Coup d’œil sur le nouveau cadran « Unité en rythme » de watchOS 11.3

29/01/2025 à 09:17

• 25