Un scandale de sécurité chez Volkswagen
La Volkswagen Group semble accumuler les incidents de sécurité à un rythme effréné, et le dernier en date concerne un rapport d’un lanceur d’alerte sur les données personnelles de près d’un million de propriétaires de véhicules laissées non protégées et essentiellement accessibles à tous en ligne.
Des données sensibles exposées
Selon une enquête menée par le journal allemand Spiegel, des informations de localisation et des données personnelles de quelque 800 000 propriétaires de véhicules électriques, y compris celles de politiciens allemands et d’autres personnalités, qui auraient dû rester privées, étaient librement accessibles sur internet pendant des mois. En d’autres termes, tout le monde sait ce que vous avez fait l’été dernier et depuis lors.
Une faille dans l’application VW
Comment cela s’est-il produit? Par le biais d’une application VW, stockée par Amazon avec une sécurité cloud défectueuse.
Développée par la filiale de VW, Cariad, l’application de voiture connectée est censée être une extension de la voiture et de ses fonctionnalités. En plus de permettre aux propriétaires de démarrer le véhicule à distance, de gérer les commandes de climatisation, de vérifier l’état de charge de la batterie, etc., l’application Cariad collecte des informations GPS et des données de conduite, envoyées ensuite au constructeur. Cariad a déclaré à Spiegel que la collecte de « données pseudo-anonymisées sur le comportement de charge et les habitudes des clients » était utilisée pour améliorer les batteries et les logiciels associés. Cariad a également affirmé que les informations ne sont pas combinées avec d’autres ensembles de données au sein de l’entreprise, rendant impossible la connexion entre les individus et les profils de véhicules.
Une faille de sécurité majeure
Cependant, une erreur estivale a laissé ces informations sensibles non cryptées et exposées, comme une plaie ouverte attendant d’être attaquée. Bien que ces informations n’aient pas été mises en ligne sur un site dédié intitulé « INFOS PERSONNELLES GRATUITES DE 800K, Y COMPRIS POLITICIENS », Spiegel affirme qu’il suffisait de savoir où chercher et qu’y accéder aurait été facile même pour « des adolescents ennuyés ».
La mauvaise sécurité sur internet a rendu des sites et sous-pages de Cariad normalement invisibles très visibles avec des extensions de fichiers faciles à deviner. Une de ces extensions a mené à un vidage récent de la mémoire d’une application interne de Cariad. Aucun mot de passe n’était requis, et le vidage de données comprenait des identifiants de connexion à une installation de stockage cloud Amazon, contenant toutes les informations sensibles sur les véhicules.
Les conséquences de cette faille
Sur les véhicules affectés, 300 000 se trouvaient en Allemagne. Cependant, Speigel rapporte que des véhicules dans d’autres pays européens et ailleurs faisaient également partie de la population de données non protégées. Les informations de propriétaires d’Audi, Seat, Škoda et Volkswagen EV étaient exposées, allant des clients ordinaires aux personnalités influentes, comme des policiers, des politiciens, et même des officiers de renseignement.
Il y avait différents niveaux de sécurité laxiste, mais pour 460 000 propriétaires, les données non sécurisées étaient trop précises et personnelles. Pour les modèles VW et Seat, les données géographiques étaient précises à moins de 10 cm de la localisation du véhicule. Pour les véhicules Audi et Škoda, la localisation était précise dans un rayon de 10 km, assez proche pour soupçonner une infidélité mais assez loin pour donner le bénéfice du doute. D’autres données incluses étaient les adresses e-mail, les adresses et les numéros de téléphone des propriétaires.
Une réaction tardive
Ce n’est qu’après que le plus grand club de hackers d’Europe, le Chaos Computer Club, a informé le groupe VW de cette faille de sécurité que le problème a été résolu et l’accès non autorisé a été bloqué. Cariad affirme qu’en dehors du CCC, il n’a « aucune preuve d’une utilisation abusive des données par des tiers ». De plus, aucun mot de passe ni information de paiement n’a été divulgué, donc aucune action supplémentaire n’est nécessaire de la part des propriétaires. Une forme de soulagement, en quelque sorte?
Les défis de la connectivité
Tout le monde a été piraté à un moment donné. Devons-nous être surpris dans ce monde de l’IoT en expansion où tout doit être connecté? Si les produits connectés sont tout ce que les fabricants proposent, la protection des consommateurs doit-elle être laissée à l’acheteur ou au producteur? Ou mieux encore, désactiver simplement les choses qui ne devraient pas vous suivre. Est-ce que la commodité de démarrage à distance vaut vraiment le risque de vol d’identité?