RÉSUMÉ
Les données sensibles de 800 000 véhicules électriques du groupe Volkswagen ont été exposées sur un serveur cloud non sécurisé. La fuite de données, découverte par un lanceur d’alerte, comprenait des données GPS et l’état du véhicule, permettant le suivi du propriétaire. Les utilisateurs concernés comprenaient des politiciens, des policiers et des employés des services de renseignement, la plupart des véhicules étant présents en Europe. La fuite de données a révélé des routines et des emplacements personnels, posant de sérieux risques pour la vie privée. Le problème provenait d’une mauvaise configuration du système Cariad, qui a depuis été résolu. Un récent rapport du média allemand Spiegel a révélé une faille de sécurité importante affectant des centaines de milliers de propriétaires de véhicules électriques du groupe Volkswagen. L’enquête a révélé que les données de localisation sensibles de 800 000 véhicules, dont ceux de Volkswagen, Audi, SEAT et Skoda, ont été exposées sur un serveur cloud non sécurisé pendant des mois. La vulnérabilité a été découverte par un lanceur d’alerte anonyme et signalée au Chaos Computer Club (CCC), une importante association européenne de hackers. L’exposition comprenait des données personnelles, notamment les coordonnées GPS et l’état du véhicule, y compris des informations détaillées sur les propriétaires de VW ID.3 et ID.4 stockées sur un serveur cloud Amazon non sécurisé. Cela a permis à toute personne possédant le savoir-faire adéquat de suivre les mouvements et les habitudes des propriétaires concernés. Il semblerait que les véhicules électriques concernés se trouvaient dans le monde entier, la majorité se trouvant en Allemagne et dans d’autres régions d’Europe. Les propriétaires concernés ne comprennent pas seulement des citoyens ordinaires, mais également des personnalités éminentes telles que des hommes politiques allemands, des policiers et même des employés présumés des services de renseignement, comme en octobre 2023, lorsqu’un entrepreneur tiers a dévoilé plus de 500 000 dossiers de saisies de véhicules de la police irlandaise.
Cette exposition allait bien au-delà du simple suivi de la localisation des véhicules. En reliant les données des véhicules à d’autres informations personnelles, les chercheurs ont pu obtenir des informations sans précédent sur la vie quotidienne des propriétaires concernés. Par exemple, selon le rapport du Spiegel, il a été capable de suivre les mouvements de deux hommes politiques allemands avec une précision alarmante, en localisant leurs emplacements à divers endroits, notamment une maison de retraite et une caserne militaire, et en dressant le profil d’un maire avec sa voiture qui suivait ses déplacements depuis son travail. à son physiothérapeute. Ce n’est pas tout ! Spiegel a découvert des téraoctets de données sur le stockage cloud d’Amazon, notamment la localisation précise de 460 000 véhicules, qui pourraient révéler des détails cruciaux sur leurs propriétaires. En outre, les données comprenaient également des informations sur les voitures électriques de la police de Hambourg, des hommes politiques, des chefs d’entreprise, des employés des services fédéraux intelligents et des chauffeurs de la base aérienne de Ramstein de l’US Air Force. La racine de cette faille de sécurité réside au sein de Cariad, la division logicielle du groupe Volkswagen. La société a confirmé qu’une mauvaise configuration au sein de ses systèmes permettait un accès non autorisé aux données sensibles. Même si Cariad insiste sur le fait qu’aucune information financière ou personnelle n’a été compromise, le potentiel d’utilisation abusive des données de localisation exposées reste une menace importante. Les cybercriminels pourraient exploiter ces informations à diverses fins malveillantes, notamment le harcèlement ciblé, le chantage et même des attaques physiques. Le CCC a immédiatement contacté le délégué à la protection des données de l’État de Basse-Saxe, le ministère fédéral de l’Intérieur et d’autres organismes de sécurité, et a donné au groupe VW et à Cariad 30 jours pour résoudre le problème avant de le rendre public. L’équipe technique de Cariad a bloqué rapidement et de manière responsable tout accès non autorisé aux données des clients.
SUJETS CONNEXES
Le ransomware Cicada3301 frappe le concessionnaire Peugeot français
Un fournisseur de logiciels pour l’industrie des carburants expose les SSN et les données PII
La base de données Builder.ai expose 1,29 To d’enregistrements non sécurisés
Les pages Microsoft Power exposent des millions d’enregistrements dans le monde
Les données de 13 Go du géant de l’assurance automobile AA exposées en ligne
