Cariad, la filiale du groupe Volkswagen en charge du logiciel, a laissé les données de 800 000 véhicules en libre accès pendant des mois sur des serveurs gérés par Amazon. C’est ce que le journal allemand Spiegel a révélé à partir de recherches menées conjointement avec le Chaos Computer Club (CCC), l’une des plus grosses organisations de hackers en Europe. Le club a été informé de la faille par un lanceur d’alerte et il a pu récupérer plusieurs téraoctets de données, avec notamment tous les mouvements des véhicules concernés. De quoi reconstituer la vie de centaines de milliers de conducteurs, dont plusieurs politiciens et autres figures publiques.
Les voitures modernes sont de plus en plus des ordinateurs sur roue, celles du groupe Volkswagen tout autant que la concurrence. Si le mouvement a été en grande partie lancé par Tesla, on retrouve la même philosophie partout, surtout dans les voitures électriques où les composants électroniques sont couramment contrôlés par des programmes informatiques qui peuvent être mis à jour. Cela passe aussi par la mise en place d’infrastructures serveur pour collecter les données envoyées par les véhicules et les exploiter, notamment à travers des apps mobiles qui servent à contrôler la voiture à distance.
Six mois en Tesla : un ordinateur sur roues, pour le meilleur et pour le pire
Comme tous ses concurrents, l’entreprise allemande a créé une infrastructure pour ses véhicules connectés. C’est Cariad qui a tout géré en interne, une tâche complexe qui a d’ailleurs été menée à bien avec beaucoup de difficultés et en provoquant au passage plusieurs retards. On peut imaginer que face à la pression, des erreurs ont pu être commises, comme la faille de sécurité le prouve bien. La filiale de Volkswagen a ainsi admis auprès du Spiegel avoir mal configuré l’un des serveurs, en précisant qu’à sa connaissance, seul le CCC avait eu accès aux données avant le correctif.
Le groupe allemand essaie de rassurer en notant que les clients n’ont aucune action à entreprendre, puisqu’aucune information sensible n’a été diffusée, ni mots de passe, ni moyens de paiement. C’est vrai, mais c’est une manière bien légère de considérer la fuite de ces données qui sont bel et bien sensibles. En effet, la position de 460 000 véhicules dans la base de données était accessible, avec une précision qui pouvait atteindre 10 centimètres, ce qui permet d’établir très simplement des profils. Le quotidien donne ainsi plusieurs exemples, comme ce politicien allemand qui rend régulièrement visite à son père en maison de retraite, se gare parfois près d’installations militaires qu’il doit visiter dans le cadre de son travail et a pris des vacances au printemps dernier dans l’Allgäu, au sud de l’Allemagne.
On peut imaginer tous les détournements malveillants si ces informations tombaient entre de mauvaises mains. La position de votre voiture permet de connaître votre lieu d’habitation et de travail, l’endroit où vos enfants vont à l’école, vos lieux préférés pour faire vos courses et même les adresses de vos proches. Parmi les données analysées par le CCC, on trouve notamment tous les déplacements des 35 voitures électriques de la police de Hambourg. Le club a même déniché des exemples de voitures régulièrement garées près de bâtiments liés au renseignement ou encore de l’aéroport américain de Ramstein, des informations qui intéresseraient fortement de nombreuses puissances dans le monde.
Ce n’est pas une donnée à traiter à la légère et la mauvaise configuration de Cariad est pour le moins gênante. D’autant que l’on parle d’un énorme volume : 800 000 voitures du groupe Volkswagen dans toute l’Europe — dont 53 000 en France — et de multiples modèles de Volkswagen, Skoda, Audi et Seat sont affectés. Plus grave encore, il ne s’agissait pas de quelques jours seulement de données, avec des informations qui remontent à l’année dernière pour certains véhicules. Dans le détail, la fuite est pire pour les modèles de Volkswagen et Seat avec une précision des positions mémorisées de l’ordre de 10 cm, tandis qu’Audi et Skoda ne stockaient qu’une localisation moins précise, à 10 km près.
Même si ces données ne sont pas directement liées aux noms des propriétaires, le CCC a trouvé un moyen d’associer chaque véhicule de la base de données à un profil créé avec l’app associée. De quoi obtenir d’autres informations personnelles, comme l’adresse mail et parfois même des adresses postales et numéros de téléphone. Cariad a rapidement modifié ses serveurs suite aux communications du CCC à la fin du mois de novembre, si bien que ces données ne sont effectivement plus accessibles publiquement. On ne sait pas encore si des conséquences juridiques sont à prévoir, le groupe Volkswagen pourrait avoir à répondre à la justice dans le cadre du RGPD européen.
Faute de mieux, les marques du groupe Volkswagen permettent à leurs clients de désactiver les fonctions connectées, ce qui met aussi fin à l’envoi de données. Cela dit, ils perdront alors plusieurs fonctionnalités, la principale étant le contrôle à distance du véhicule depuis l’app, bien utile notamment pour suivre une charge rapide pendant une pause. Au-delà de la faille de sécurité, une entreprise ne devrait pas pouvoir collecter autant de données sensibles sans obtenir une autorisation éclairée de la part de ses clients. Le manque de transparence sur les données collectées et stockées reste malheureusement la norme.