Une faille de sécurité expose les données personnelles de 800 000 automobilistes

Cariad, entité du groupe Volkswagen dédiée au développement logiciel de modèles électriques et autonomes, a exposé par erreur des milliers de données personnelles relatives à 800 000 propriétaires de voitures électriques. D'après le magazine allemand Der Spiegel, qui a révélé l'affaire, des véhicules Volkswagen, Seat, Audi et Skoda sont concernés, dont 53 000 en France.

Les données de géolocalisation accessibles pour 460 000 véhicules

Plusieurs téraoctets de données non protégés sont ainsi restés accessibles pendant quelques mois depuis une instance cloud Amazon. En exploitant un logiciel gratuit, le média allemand et des experts informatiques ont recherché des ressources contenant des données sensibles, amenant à un fichier de vidage de mémoire qui contenait des clés d'accès à cette instance cloud.

Les données personnelles exposées comprenaient à la fois les noms et coordonnées des conducteurs, propriétaires et gestionnaires de flotte des véhicules, ainsi que les données de géolocalisation de 460 000 voitures. Ces dernières étaient précises à dix centimètres près pour certains modèles Volkswagen – ID.3 et ID.4, notamment – et Seat.

Une faille qui ne concernerait que les véhicules connectés à Internet, selon Cariad

La division logicielle du groupe automobile allemand a été informée de cette vulnérabilité fin novembre par le Chaos Computer Club (CCC), plus grande organisation européenne spécialisée dans le hacking éthique. Cariad assure que la faille a été corrigée avant que les données ne soient exploitées de manière malveillante, et que seuls les véhicules connectés à Internet et enregistrés pour des services en ligne étaient concernés.

Cette exposition d'informations personnelles reste néanmoins assez grave : en plus des données de géolocalisation, le fichier donnait accès au niveau de charge de la batterie et permettait de savoir si le moteur du véhicule était allumé ou éteint. La division explique collecter ces données pour optimiser et personnaliser les fonctionnalités intelligentes pour ses futures batteries et logiciels de charge.

Personnalités politiques, forces de l'ordre, services de renseignement…

En recoupant ces données personnelles avec d'autres informations disponibles publiquement, des acteurs malveillants auraient pu suivre à la trace les déplacements de leurs propriétaires, y compris dans des lieux sensibles ou stratégiques. Le média allemand a observé les mouvements de plusieurs personnalités politiques et chefs d'entreprise, mais aussi d'employés présumés de services de renseignement et de 35 voitures électriques de patrouille de police à Hambourg. En outre, des cybercriminels auraient pu exploiter ces informations pour générer des e-mails de phishing personnalisés afin de subtiliser des données de paiement.