Voiture du peuple géolocalisée
Cariad, l’unité du groupe Volkswagen dédiée aux logiciels automobiles, a exposé publiquement les données de 800 000 voitures électriques du groupe. Pour plus de la moitié d’entre elles, la géolocalisation précise du véhicule pouvait être reliée aux noms des clients. Cette faille a été trouvée par le Chaos Computer Club et révélée publiquement par le journal allemand Spiegel.
Quelques téraoctets de données concernant les voitures électriques des clients de plusieurs marques du groupe Volkswagen ont été exposées pendant plusieurs mois sur le cloud d’Amazon Web Services par Cariad, la filiale logiciels du groupe, a révélé vendredi 27 décembre le journal allemand Spiegel.
Les voitures électriques de Volkswagen, Seat, Audi ou Skoda touchées
Si vous possédez une voiture électrique des marques Volkswagen, Seat, Audi ou Skoda, ses données sont susceptibles d’être concernées. Une grande partie des voitures (300 000) que le journal allemand a pu recenser dans ces données est située en Allemagne. Les deux autres pays les plus touchés sont la Norvège avec 80 000 véhicules et la Suède avec 68 000 véhicules. 53 000 autres sont situés en France et 38 000 en Belgique.
À Bleeping Computer, Cariad explique que l’accès aux données était possible à cause d’une mauvaise configuration de deux applications.
Le Chaos Computer Club (CCC) a informé l’entreprise de l’existence de cette faille le 26 novembre dernier. Selon le Spiegel, l’organisation de hackers qui se réunit tous les ans en fin d’année (sa conférence 38C3 a lieu cette année du 27 au 30 décembre) a été mise au courant du problème par un lanceur d’alerte et a testé l’accès avant d’informer l’entreprise et le groupe automobile allemand.
Selon Cariad, les données concernaient les véhicules connectés à Internet et enregistrés pour des services en ligne. Le CCC aurait accédé aux données après avoir « contourné plusieurs mécanismes de sécurité qui ont nécessité beaucoup de temps et d’expertise technique », sans que l’entreprise n’entre plus dans les détails.
D’après le Spiegel, cela dit, les données de géolocalisation de 460 000 véhicules étaient disponibles, parfois avec une précision de 10 centimètres.
Des politiques allemands et les allers et venues autour de lieux sensibles repérables
Le journal allemand a ainsi pu associer certaines voitures à leurs propriétaires. 35 voitures électriques de la police de Hambourg ont été repérées, ainsi que des voitures de personnalités politiques allemandes. Le membre du Bundestag Markus Grübel et Nadja Weippert (femme politique locale) font, par exemple, partie des personnes dont les voitures ont pu être repérées. Si l’entreprise a mis en place une politique de pseudonymisation des voitures pour des raisons de confidentialité, le CCC et le Spiegel ont réussi à passer outre.
La faille concerne plusieurs centaines de milliers de voitures, car les marques concernées du groupe Volkswagen utilisent la même plateforme logicielle pour gérer leurs véhicules électriques. Le Chaos Computer Club explique que les modèles concernés sont les voitures des séries ID3, ID4 et ID7 de Volkswagen, la série e-Tron d’Audi et les Cupra de Seat (sans préciser quels sont les modèles de Skoda concernés).
Cariad a affirmé à Bleeping Computer qu’elle avait résolu le problème le jour même où le Chaos Computer Club le lui a signalé, ce que ce dernier a confirmé. Il n’y a aucune preuve que d’autres personnes ont pu accéder aux données en question et donc que ces données aient été utilisées de façon mal intentionnée.
Le Spiegel souligne néanmoins le caractère problématique des données récoltées. Il explique notamment qu’il était en capacité de dire « quelle voiture se gare chaque jour entre 8 et 17 heures aux alentours des bâtiments du service fédéral de renseignement ou quelle autre se rend à l’aérodrome militaire de l’armée américaine de la ville de Ramstein ».
Une systématisation du stockage de données problématique
De son côté, le groupe de hackers pointe du doigt le fait que le groupe Volkswagen a systématisé le stockage des données sur « les déplacements de centaines de véhicules des marques VW, Audi, Skoda et Seat » et ce « sur de longues périodes ». Il explique avoir constaté que des « données sensibles relatives aux accidents de la route ont également été recueillies ».
« Le problème est que ces données ont été collectées en premier lieu et stockées pendant une période aussi longue. Le fait qu’elles aient été mal protégées en plus de cela ne fait que mettre la cerise sur le gâteau », a déclaré Linus Neumann, porte-parole du Chaos Computer Club. L’organisation ne précise pour autant pas la période concernée.
L’entreprise précise à Bleeping Computer que les données collectées à partir des véhicules l’aident à « fournir, développer et améliorer les fonctions numériques » pour ses clients et créer des fonctionnalités supplémentaires.
Le Chaos Computer Club explique en détail dans une conférence (un doublage audio en français est disponible) comment il a pu récupérer toutes ces données.