La société de logiciels automobiles de Volkswagen, Cariad, a exposé les données collectées à partir d’environ 800 000 voitures électriques. Les informations pourraient être liées aux noms des conducteurs et révéler des emplacements précis des véhicules.
Des téraoctets de détails sur les clients Volkswagen dans le stockage cloud Amazon sont restés sans protection pendant des mois, permettant à toute personne ayant peu de connaissances techniques de suivre les déplacements des conducteurs ou de recueillir des informations personnelles.
Les bases de données exposées incluent des détails pour les véhicules VW, Seat, Audi et Skoda, les données de géolocalisation pour certains d’entre eux étant aussi précises que quelques centimètres.
Données de géolocalisation précises
L’accès aux données de la voiture était possible en raison de la configuration incorrecte de Cariad dans deux applications informatiques, a déclaré un représentant de l’entreprise à Breachtrace.
Cariad a été informé le 26 novembre du problème par le Chaos Computer Club( CCC), la plus grande organisation de hackers éthiques en Europe qui, depuis plus de 30 ans, promeut la sécurité, la confidentialité et le libre accès à l’information.
Selon la publication allemande Spiegel, le CCC a découvert la vulnérabilité d’un lanceur d’alerte et a testé l’accès non sécurisé avant d’informer Cariad et Volkswagen responsables et de fournir des détails techniques.
Dans une déclaration à Breachtrace, un représentant de Cariad a déclaré que les données exposées ne concernaient que les véhicules connectés à Internet et avaient été enregistrés pour des services en ligne.
Sur les près de 800 000 véhicules exposés, les chercheurs ont trouvé des données de géolocalisation pour 460 000 voitures, pour certaines d’entre elles avec une précision de dix centimètres.
Un peu plus de 30 véhicules faisaient partie de la flotte de voitures de patrouille de la police de Hambourg, tandis que d’autres appartenaient à des employés présumés des services de renseignement, explique Spiegel.
La société a déclaré que les pirates informatiques de CCC ne pouvaient accéder aux données qu’après avoir contourné plusieurs mécanismes de sécurité qui nécessitaient beaucoup de temps et d’expertise technique.
De plus, comme les données individuelles des véhicules étaient pseudonymisées à des fins de confidentialité, les pirates informatiques ont dû combiner différents ensembles de données pour associer les détails à un utilisateur particulier.
Cependant, Spiegel a réuni une équipe d’experts en informatique et de journalistes qui ont trouvé des détails de localisation recueillis dans les voitures de deux politiciens allemands, Nadja Weippert et Markus Grübel, membre du Bundestag, à l’aide d’un logiciel disponible gratuitement.
Les outils ont recherché des actifs Cariad exposés contenant des fichiers contenant des informations sensibles, ce qui a permis de trouver une copie d’un vidage de mémoire à partir d’une application Cariad interne.
À l’intérieur de la mémoire, les pirates ont découvert des clés d’accès à une instance de stockage en nuage sur Amazon où Cariad sauvegardait les données collectées à partir des véhicules des clients du groupe Volkswagen.
Spiegel rapporte que certains points de données faisaient référence à la longitude et à la latitude des voitures lorsque le moteur électrique était éteint.
« Dans le cas des modèles et des sièges VW, ces géodonnées étaient précises à dix centimètres près, et pour les Audis et les Skodas à dix kilomètres près et étaient donc moins problématiques » – Spiegel
La plupart des véhicules concernés, 300 000 d’entre eux, se trouvaient en Allemagne, mais les chercheurs ont également trouvé des détails sur les voitures en Norvège (80 000), en Suède (68 000) , au Royaume-Uni (63 000), aux Pays-Bas (61 000), en France (53 000), Belgique (68 000) et Danemark (35 000).
Solution rapide après la divulgation responsable
Cariad a déclaré à Breachtrace que son équipe de sécurité avait réagi rapidement pour résoudre le problème et fermé l’accès le jour même où le CCC leur avait envoyé le rapport.
Les représentants de CCC ont confirmé pour Spiegel que “l’équipe technique de Cariad a répondu rapidement, de manière approfondie et responsable” et que l’entreprise a réagi quelques heures après avoir reçu les détails techniques.
D’après les résultats de son enquête, Cariad ne dispose d’aucune preuve suggérant que d’autres parties, à l’exception des pirates informatiques de la CCC, aient eu accès aux données du véhicule exposées ou que les informations aient été mal utilisées par un tiers.
La société souligne également que le CCC n’avait accès qu’aux données collectées à partir des véhicules et ne pouvait pas accéder aux voitures elles-mêmes.
Cariad indique que les clients des marques du groupe Volkswagen peuvent accepter d’utiliser des produits et services nécessitant le traitement de données personnelles et peuvent désactiver cette option à tout moment.
Cependant, l’entreprise note que les données collectées à partir des véhicules l’aident à “fournir, développer et améliorer les fonctions numériques” pour ses clients ainsi qu’à créer des avantages supplémentaires.
« Sans ces données, des fonctions intelligentes, numériques et personnalisées ne pourraient être fournies, optimisées ou étendues » – Cariad
À titre d’exemple, l’entreprise explique que le comportement et les habitudes de charge des clients sont anonymisés et aident à optimiser les futures générations de batteries et les logiciels de charge.
Dans le même temps, les données collectées sont stockées dans le cloud de manière à protéger l’identité du client et ses déplacements avec le véhicule.
” Les marques du groupe Volkswagen collectent, stockent, transmettent et utilisent des données personnelles exclusivement dans le cadre des réglementations légales et d’une relation contractuelle existante, d’intérêts légitimes ou du consentement explicite du client », explique Cariad.
L’éditeur de logiciels automobiles affirme également qu’il emploie de solides pratiques de protection des données qui incluent le stockage séparé des points de données, des droits d’accès restrictifs, la pseudonymisation et l’anonymisation, ainsi que l’agrégation et le traitement des données aux fins indiquées.