Données de localisation de 800 000 voitures exposées en ligne pendant des mois

Une fuite de données a conduit à ce que la localisation d'environ 800 000 véhicules électriques (VE) Volkswagen (VW) soit exposée en ligne pendant plusieurs mois, selon un rapport du magazine d'information allemand Der Spiegel.

L'incident mondial a touché les propriétaires de véhicules électriques de VW, Audi, Seat et Skoda, avec une localisation en temps réel des véhicules concernés, s'ils étaient chez eux, circulaient dans la rue ou, selon les mots de Der Spiegel, garés " devant le bordel.

VW collecte des données, y compris les coordonnées GPS, après qu'un propriétaire de voiture a configuré l'application VW, qui lui permet de faire des choses comme préchauffer la voiture, surveiller le niveau de charge de la batterie et vérifier l'autonomie restante. Cela crée un ensemble de données qui peuvent ensuite être utilisées pour créer un profil détaillé des mouvements quotidiens d'une personne, a déclaré Der Spiegel.

C'est peut-être déjà une nouveauté pour certains propriétaires, mais l'élément vraiment alarmant de cette histoire est qu'en raison d'une erreur, les données étaient accessibles au public. En effet, plusieurs téraoctets d'informations liées à environ 800 000 véhicules électriques sont restés exposés sur le système de stockage cloud d'Amazon pendant plusieurs mois.

Avant que la vulnérabilité ne soit corrigée, Der Spiegel a déclaré qu'il était capable de la reproduire, affirmant que « l'accès au système n'aurait pas été un défi majeur pour les services de renseignement, espionnant les concurrents de VW, les criminels ou même les adolescents qui s'ennuyaient. Tout était visible, il suffisait de savoir où chercher.

Le site d'information a indiqué qu'une grande partie des données du véhicule pouvaient être liées aux noms et coordonnées des propriétaires et, dans certains cas, incluaient des adresses e-mail, des adresses personnelles et des numéros de téléphone portable.

L'erreur se serait produite parce qu'une filiale de VW appelée Cariad, qui a créé une plate-forme logicielle pour les véhicules électriques du groupe automobile, n'a pas remarqué une erreur entrée dans le système l'été dernier. En fait, la brèche n’a été révélée qu’après qu’un lanceur d’alerte a alerté le Spiegel ainsi que le Chaos Computer Club.

Le reportage énumère un certain nombre de scénarios dans lesquels les données – si elles tombaient entre de mauvaises mains – pourraient être utilisées à des fins néfastes. Les agents des services de renseignement étrangers, par exemple, pourraient traquer des hommes politiques ou d'autres cibles, tandis que les maîtres chanteurs pourraient s'en prendre aux individus qui visitent des lieux qu'ils préfèrent garder secrets.

Interrogé par Der Spiegel sur la collecte d'informations sur les conducteurs, Cariad a déclaré qu'elle collectait des données pseudonymisées sur le comportement et les habitudes de recharge des clients, en les utilisant pour améliorer les batteries et les logiciels associés.

Il a ajouté qu’après l’exposition des données, les clients ne sont tenus de prendre aucune mesure, insistant sur le fait qu’« aucune information sensible telle que les mots de passe ou les détails de paiement n’est affectée ». Il ajoute que les propriétaires peuvent choisir d'utiliser ou non les produits et services VW qui nécessitent le traitement de données personnelles, car tous les véhicules dotés de fonctions en ligne offrent une option de désactivation.

VW n'a pas encore commenté publiquement l'incident. Digital Trends a contacté le constructeur automobile et mettra à jour cet article dès que nous recevrons une réponse.

L'incident met en lumière le problème persistant de la collecte de données par les constructeurs automobiles , rendue possible par les progrès de la connectivité et de la technologie des capteurs dans les véhicules modernes. "Les voitures semblent vraiment avoir échappé au radar de la vie privée", a déclaré l'année dernière le responsable d'une étude sur le sujet.