Une fuite massive de données du groupe Volkswagen a révélé les déplacements de 800 000 propriétaires de véhicules électriques, de leur domicile à des espaces privés. Les informations sensibles ont été exposées pendant des mois sur un système de stockage cloud non protégé et mal configuré. Les véhicules électriques de VW, Audi, Seat et Skoda ont été touchés en Allemagne, en Europe et dans d'autres parties du monde. La violation de données a été découverte par un dénonciateur anonyme à l'aide d'un logiciel librement accessible.Les voitures modernes sont des ordinateurs sur roues connectés à Internet. Pour cette raison, ils n’échappent pas aux tendances en matière d’Internet des objets : collecte massive des données. Depuis les caméras intégrées à ces véhicules jusqu’aux capteurs de poids des sièges, tout est utile au sein de ces derniers pour amasser des données sensibles.
Une étude en 2023 de la fondation Mozilla a confirmé le problème des voitures modernes : votre voiture est une espionne. L'étude avait révélé que les voitures fabriquées au cours des dernières années collectent des informations personnelles aussi sensibles que votre origine ethnique, votre poids et votre activité sexuelle. Mais plus que la collecte de données, les constructeurs automobiles vendent également ces informations personnelles. Ces pratiques représentent un cauchemar pour la vie privée des utilisateurs.
Récemment, un nouveau rapport provenant d'Allemagne a révélé que le groupe Volkswagen (VW) a stocké des informations sensibles concernant 800 000 véhicules électriques de différentes marques sur un système de stockage dans le cloud d'Amazon mal sécurisé et mal configuré, laissant en quelque sorte la porte numérique grande ouverte à n'importe qui. Et pas seulement brièvement, mais pendant des mois.
La faille concerne les modèles entièrement électriques des marques Audi, VW, Seat et Skoda, et touche des véhicules non seulement en Allemagne, mais aussi dans toute l'Europe et dans d'autres parties du monde. Parmi les trésors de données exposées, on trouve les coordonnées GPS, les niveaux de charge de la batterie et d'autres détails clés sur l'état du véhicule, comme le fait de savoir s'il était allumé ou éteint. En clair, quelqu'un disposant des connaissances nécessaires peut espionner les allées et venues de votre voiture et ses habitudes.
Cause et gravité de la fuite de données
Il y a pire. Un utilisateur plus avisé pourrait apparemment relier les véhicules aux informations d'identification personnelles de leurs propriétaires, grâce à des données supplémentaires accessibles par l'intermédiaire des services en ligne du groupe VW. Dans 466 000 cas sur 800 000, les données de localisation étaient si précises que toute personne y ayant accès pouvait créer un profil détaillé des habitudes quotidiennes de chaque propriétaire.
Selon un autre rapport, la liste massive des propriétaires concernés n'est pas un simple "who's-who" de gens ordinaires. Elle comprend des politiciens allemands, des entrepreneurs, des officiers de police de Hambourg (toute la flotte de véhicules électriques) et même des employés présumés des services de renseignement. Oui, même des espions ont pu être pris dans cette débâcle numérique.
Cette erreur flagrante provient de Cariad, une entreprise du groupe VW spécialisée dans les logiciels, à la suite d'une erreur survenue au cours de l'été 2024. Un dénonciateur anonyme a utilisé un logiciel librement accessible pour déterrer les informations sensibles et a rapidement alerté le Chaos Computer Club (CCC), la plus grande association de pirates informatiques d'Europe.
Le CCC s'est empressé de contacter le délégué à la protection des données de Basse-Saxe, le ministère fédéral de l'intérieur et d'autres organismes de sécurité. Il a également donné au groupe VW et à Cariad un délai de 30 jours pour résoudre le problème avant de le rendre public. Selon la CCC, l'équipe technique de Cariad "a réagi rapidement, de manière approfondie et responsable", en bloquant l'accès non autorisé aux données de ses clients.
Dans une déclaration, Cariad a rassuré ses clients en affirmant qu'aucune donnée sensible - comme les mots de passe ou les informations de paiement - n'avait été exposée, soulignant qu'ils "n'ont pas besoin de prendre des mesures, car aucune information sensible comme les mots de passe ou les données de paiement n'est affectée". Toutefois, la publication s'inquiète de la facilité avec laquelle ces données auraient pu tomber entre de mauvaises mains, notamment celles de criminels, de fraudeurs, de maîtres chanteurs ou même de harceleurs, ce qui constitue une menace sérieuse pour les propriétaires d'EV concernés.
Voici un rapport de la situation :
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">VW Group Collects Vehicle Movement Data<br><br>The Chaos Computer Club (CCC) a well-known German Group of hackers reveals that the Volkswagen Group systematically collects movement data from hundreds of thousands of vehicles from the brands VW, Audi, Skoda, and Seat and stores it over… <a href="https://t.co/mtsXeWqNWe">pic.twitter.com/mtsXeWqNWe</a></p>— Alex (@alex_avoigt) <a href="https://twitter.com/alex_avoigt/status/1873315392082334150?ref_src=twsrc%5Etfw">December 29, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/TWITTER]
Le groupe VW collecte des données sur les déplacements des véhicules
Le Chaos Computer Club (CCC), un groupe de pirates informatiques allemand bien connu, révèle que le groupe Volkswagen collecte systématiquement des données sur les déplacements de centaines de milliers de véhicules des marques VW, Audi, Skoda et Seat et les stocke sur de longues périodes.
Les données, y compris les informations sur les propriétaires des véhicules, étaient également accessibles sur l'internet sans protection.
Grâce à ces données de déplacement, Volkswagen obtient des informations sur la vie privée quotidienne - et surtout non quotidienne - de centaines de milliers de propriétaires de véhicules.
Des données sensibles concernant les activités militaires et de renseignement ont également été collectées : entre autres, des enregistrements ont été trouvés dans le parking du Service fédéral de renseignement (BND) et sur l'aérodrome militaire de l'armée de l'air des États-Unis à Ramstein.
Les informations collectées par Cariad, filiale de VW, comprennent des détails précis sur le lieu et l'heure de la coupure du contact. Les données relatives aux déplacements sont liées à d'autres données personnelles, ce qui permet de tirer des conclusions sur les fournisseurs, les prestataires de services, les employés ou les organismes de couverture des autorités chargées de la sécurité.
"Le problème est que ces données sont collectées et stockées pendant une période aussi longue. Le fait qu'elles aient été mal protégées ne fait qu'ajouter l'insulte à l'injure", a déclaré Linus Neumann, porte-parole du Chaos Computer Club.
Le groupe VW a prouvé son incompétence en ce qui concerne les données des véhicules et tout ce dont les gens accusent Tesla semble se produire au sein du groupe VW.
Le Chaos Computer Club (CCC), un groupe de pirates informatiques allemand bien connu, révèle que le groupe Volkswagen collecte systématiquement des données sur les déplacements de centaines de milliers de véhicules des marques VW, Audi, Skoda et Seat et les stocke sur de longues périodes.
Les données, y compris les informations sur les propriétaires des véhicules, étaient également accessibles sur l'internet sans protection.
Grâce à ces données de déplacement, Volkswagen obtient des informations sur la vie privée quotidienne - et surtout non quotidienne - de centaines de milliers de propriétaires de véhicules.
Des données sensibles concernant les activités militaires et de renseignement ont également été collectées : entre autres, des enregistrements ont été trouvés dans le parking du Service fédéral de renseignement (BND) et sur l'aérodrome militaire de l'armée de l'air des États-Unis à Ramstein.
Les informations collectées par Cariad, filiale de VW, comprennent des détails précis sur le lieu et l'heure de la coupure du contact. Les données relatives aux déplacements sont liées à d'autres données personnelles, ce qui permet de tirer des conclusions sur les fournisseurs, les prestataires de services, les employés ou les organismes de couverture des autorités chargées de la sécurité.
"Le problème est que ces données sont collectées et stockées pendant une période aussi longue. Le fait qu'elles aient été mal protégées ne fait qu'ajouter l'insulte à l'injure", a déclaré Linus Neumann, porte-parole du Chaos Computer Club.
Le groupe VW a prouvé son incompétence en ce qui concerne les données des véhicules et tout ce dont les gens accusent Tesla semble se produire au sein du groupe VW.
Il est compréhensible que les hommes politiques allemands n'aient pas été ravis de se retrouver sur la liste des parties concernées. L'un d'entre eux, qui a examiné les données ayant fait l'objet d'une fuite avec le Spiegel, a qualifié les résultats de "choquants", tandis qu'un autre a carrément qualifié l'incident d'"ennuyeux et embarrassant". Tous deux ont exhorté les constructeurs automobiles locaux à améliorer radicalement leur système en matière de cybersécurité.
Malheureusement, ce n'est pas la première fois qu'un constructeur automobile manipule les données de ses clients. L'année dernière, Toyota a admis une violation massive de données concernant 2,15 millions de propriétaires de véhicules au Japon. Il est clair que l'industrie automobile doit apprendre à protéger les données des utilisateurs dans le cloud.
Parfois, cependant, il ne s'agit même pas d'une faille de sécurité. Au début de l'année, le New York Times a révélé que de nombreux constructeurs automobiles vendaient des données sur les conducteurs au secteur de l'assurance, ce qui entraînait une augmentation des primes pour de nombreux conducteurs. Parmi les procès actuels, le Texas a poursuivi le constructeur automobile General Motors pour avoir illégalement collecté et vendu les données privées des conducteurs sans leur consentement.
Et vous ?
Quel est votre avis sur la situation ? Pensez-vous que les corrections apportées par Cariad sont crédibles ou pertinentes ?Voir aussi :
Les pratiques des constructeurs automobiles en matière de confidentialité des données sont « inacceptables », déclare un sénateur américain Les constructeurs automobiles sont prêts à communiquer à la police les données de localisation de votre voiture sans exiger une décision de justice, selon une enquête Quand votre voiture vous espionne : un homme de Floride poursuit General Motors et LexisNexis pour la vente de ses données Cadillac, accusant les entreprises de violation de la vie privée 
