Une fuite de données a exposé les données de localisation d’environ 800 000 véhicules électriques (VE) Volkswagen (VW) pendant plusieurs mois, impactant les véhicules de VW, Audi, Seat et Skoda, comme l’a rapporté Le Spiegel.
Une fuite de données révèle l’emplacement de 800 000 véhicules électriques Volkswagen
L’incident a révélé la localisation GPS en temps réel des véhicules concernés, permettant aux observateurs de voir si les voitures étaient garées à la maison, dans la rue ou dans des endroits plus sensibles, selon Le Spiegel. La fuite provient d’une filiale de VW, Cariad, qui collecte des données pour activer des fonctionnalités telles que le préchauffage de la voiture et la surveillance de la batterie via l’application VW.
Avant que la vulnérabilité ne soit corrigée, plusieurs téraoctets de données liées à environ 800 000 véhicules électriques auraient été exposés sur le système de stockage cloud d’Amazon. Le Spiegel a déclaré que l’accès à ces données non protégées n’aurait pas posé de défi majeur aux agences de renseignement, aux entreprises concurrentes, aux criminels ou même aux « adolescents qui s’ennuient ».
Les implications potentielles de cette exposition de données sont graves. Une grande partie des données sur les véhicules pourraient être liées à des informations personnelles telles que les noms, adresses e-mail, adresses personnelles et numéros de téléphone des propriétaires de voitures. Selon le rapport, des données de localisation précises pour 460 000 véhicules détaillaient les horaires et les lieux de leur stationnement et de leur exploitation.
Apple peut collecter vos données photo par défaut
Réponse de Volkswagen et des personnes concernées
Suite à cette révélation, Cariad de VW a déclaré qu’elle collectait uniquement des données pseudonymisées pour améliorer le comportement et les logiciels de recharge. Ils ont insisté sur le fait qu ‘«aucune information sensible telle que les mots de passe ou les détails de paiement n’est affectée», et ont ajouté que les utilisateurs peuvent désactiver les fonctions en ligne dans leur véhicule.
La vulnérabilité a été découverte après qu’un lanceur d’alerte a informé les deux Le Spiegel et le Chaos Computer Club (CCC), qui a ensuite enquêté sur l’étendue de la violation. La politicienne Nadja Weippert s’est dite choquée en découvrant que les données de sa voiture étaient stockées en clair, soulignant la nécessité pour VW d’améliorer la sécurité des données.
Markus Grübel, un autre homme politique touché par la fuite, a qualifié la situation de « ennuyeuse et embarrassante », affirmant qu’elle sape la confiance dans les capacités informatiques de l’industrie automobile allemande en matière de confidentialité et de sécurité.
Le Spiegel a souligné la possibilité que ces données soient exploitées par des services de renseignement étrangers pour traquer des personnes intéressantes ou pour les utiliser à des fins de chantage. Il suggère que les données indiquant des visites régulières dans certains lieux, tels que les maisons closes ou les hôpitaux, pourraient faciliter les stratagèmes malveillants.
Le CCC, après avoir découvert la vulnérabilité, a contacté Cariad et le groupe VW, permettant une action rapide pour remédier au problème. L’équipe a salué la réponse rapide de Cariad à son alerte, fermant la vulnérabilité une fois qu’elle a été signalée.
Les données exposées comprenaient des mouvements détaillés des véhicules, fournissant un aperçu complet des habitudes quotidiennes des conducteurs. Il permettait de savoir quand une voiture était allumée ou éteinte et où elle se trouvait, ce qui présentait d’importants problèmes de confidentialité pour de nombreux propriétaires.
Des impacts plus larges sur la confidentialité des données automobiles
La fuite de données met en évidence les problèmes plus larges liés aux pratiques de collecte de données des constructeurs automobiles, qui peuvent inclure un suivi et un profilage détaillés des utilisateurs de véhicules. Les recherches indiquent que les véhicules modernes collectent souvent plus de données que nécessaire, une enquête de la Fondation Mozilla de 2023 révélant que 68 % des marques examinées avaient déjà subi des incidents de sécurité ou des violations de données.
D’autres fabricants ont également été confrontés à des failles de sécurité liées à la collecte de données. En janvier 2023, un groupe de pirates informatiques a réussi à accéder aux comptes d’utilisateurs de BMW et Mercedes-Benz, tandis qu’un précédent incident connu sous le nom de « Jeep hack » a démontré des vulnérabilités dans les systèmes de contrôle des véhicules.
Le paysage juridique entourant les données automobiles évolue, avec la nouvelle Loi sur les données devrait accorder aux propriétaires de voitures un contrôle accru sur les données de leur véhicule à partir de septembre 2025.
Crédit image en vedette : Erik Mclean/Unsplash
