Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des données de 800 000 voitures du groupe Volkswagen étaient accessibles en ligne

Voiture du peuple géolocalisée

Des données de 800 000 voitures du groupe Volkswagen étaient accessibles en ligne

Johnl1924, licence Creative Commons Attribution-Share Alike 4.0

Cariad, l'unité du groupe Volkswagen dédiée aux logiciels automobiles, a exposé publiquement les données de 800 000 voitures électriques du groupe. Pour plus de la moitié d'entre elles, la géolocalisation précise du véhicule pouvait être reliée aux noms des clients. Cette faille a été trouvée par le Chaos Computer Club et révélée publiquement par le journal allemand Spiegel.

Le 30 décembre 2024 à 17h05

Quelques téraoctets de données concernant les voitures électriques des clients de plusieurs marques du groupe Volkswagen ont été exposées pendant plusieurs mois sur le cloud d'Amazon Web Services par Cariad, la filiale logiciels du groupe, a révélé vendredi 27 décembre le journal allemand Spiegel.

Les voitures électriques de Volkswagen, Seat, Audi ou Skoda touchées

Si vous possédez une voiture électrique des marques Volkswagen, Seat, Audi ou Skoda, ses données sont susceptibles d'être concernées. Une grande partie des voitures (300 000) que le journal allemand a pu recenser dans ces données est située en Allemagne. Les deux autres pays les plus touchés sont la Norvège avec 80 000 véhicules et la Suède avec 68 000 véhicules. 53 000 autres sont situés en France et 38 000 en Belgique.

À Bleeping Computer, Cariad explique que l'accès aux données était possible à cause d'une mauvaise configuration de deux applications.

Le Chaos Computer Club (CCC) a informé l'entreprise de l'existence de cette faille le 26 novembre dernier. Selon le Spiegel, l'organisation de hackers qui se réunit tous les ans en fin d'année (sa conférence 38C3 a lieu cette année du 27 au 30 décembre) a été mise au courant du problème par un lanceur d'alerte et a testé l'accès avant d'informer l'entreprise et le groupe automobile allemand.

Selon Cariad, les données concernaient les véhicules connectés à Internet et enregistrés pour des services en ligne. Le CCC aurait accédé aux données après avoir « contourné plusieurs mécanismes de sécurité qui ont nécessité beaucoup de temps et d'expertise technique », sans que l'entreprise n'entre plus dans les détails.

D'après le Spiegel, cela dit, les données de géolocalisation de 460 000 véhicules étaient disponibles, parfois avec une précision de 10 centimètres.

Des politiques allemands et les allers et venues autour de lieux sensibles repérables

Le journal allemand a ainsi pu associer certaines voitures à leurs propriétaires. 35 voitures électriques de la police de Hambourg ont été repérées, ainsi que des voitures de personnalités politiques allemandes. Le membre du Bundestag Markus Grübel et Nadja Weippert (femme politique locale) font, par exemple, partie des personnes dont les voitures ont pu être repérées. Si l'entreprise a mis en place une politique de pseudonymisation des voitures pour des raisons de confidentialité, le CCC et le Spiegel ont réussi à passer outre.

La faille concerne plusieurs centaines de milliers de voitures, car les marques concernées du groupe Volkswagen utilisent la même plateforme logicielle pour gérer leurs véhicules électriques. Le Chaos Computer Club explique que les modèles concernés sont les voitures des séries ID3, ID4 et ID7 de Volkswagen, la série e-Tron d'Audi et les Cupra de Seat (sans préciser quels sont les modèles de Skoda concernés).

Cariad a affirmé à Bleeping Computer qu'elle avait résolu le problème le jour même où le Chaos Computer Club le lui a signalé, ce que ce dernier a confirmé. Il n'y a aucune preuve que d'autres personnes ont pu accéder aux données en question et donc que ces données aient été utilisées de façon mal intentionnée.

Le Spiegel souligne néanmoins le caractère problématique des données récoltées. Il explique notamment qu'il était en capacité de dire « quelle voiture se gare chaque jour entre 8 et 17 heures aux alentours des bâtiments du service fédéral de renseignement ou quelle autre se rend à l'aérodrome militaire de l'armée américaine de la ville de Ramstein ».

Une systématisation du stockage de données problématique

De son côté, le groupe de hackers pointe du doigt le fait que le groupe Volkswagen a systématisé le stockage des données sur « les déplacements de centaines de véhicules des marques VW, Audi, Skoda et Seat » et ce « sur de longues périodes ». Il explique avoir constaté que des « données sensibles relatives aux accidents de la route ont également été recueillies ».

« Le problème est que ces données ont été collectées en premier lieu et stockées pendant une période aussi longue. Le fait qu'elles aient été mal protégées en plus de cela ne fait que mettre la cerise sur le gâteau », a déclaré Linus Neumann, porte-parole du Chaos Computer Club. L'organisation ne précise pour autant pas la période concernée.

L'entreprise précise à Bleeping Computer que les données collectées à partir des véhicules l'aident à « fournir, développer et améliorer les fonctions numériques » pour ses clients et créer des fonctionnalités supplémentaires.

Le Chaos Computer Club explique en détail dans une conférence (un doublage audio en français est disponible) comment il a pu récupérer toutes ces données.

Commentaires (26)

votre avatar
"L'entreprise précise à Bleeping Computer que les données collectées à partir des véhicules l'aident à « fournir, développer et améliorer les fonctions numériques » pour ses clients et créer des fonctionnalités supplémentaires."

Ah ben tout va bien alors! C´est bon, ne changez rien, on vous fout la paix. Pardon.

On referme la porte en sortant? :neutral:
votre avatar
Je me suis dit la même chose. Tous exactement le même refrain en cas de mise en lumière de problème de données.
votre avatar
On peut imaginer multiimaginer une multitude de services utiles à l'utilisateur qui peuvent pleinement justifier cette collecte. Cependant, quand ils sont évoqués de façon aussi évasive, on ne peut s'empêcher de penser : utiles à qui ?
votre avatar
La CNIL allemande doit-elle être alertée, et va-t-elle enquêter / sanctionner?
votre avatar
Est ce rgpd compatible ?
votre avatar
Bien sûr, total respect de la règle de maximisation des données collectées.
votre avatar
Le Comité Contre les Chats (CCC) s'intéresse aux voitures à piles :D
votre avatar
Je suis rassuré (ou pas :D) de ne pas être le seul à y avoir pensé.
votre avatar
Cela étonne qui ? Toutes les marques font la même chose. le potentielle d'argent à se faire par la revente des données au publicitaires, assureurs etc... est beaucoup trop gros pour qu'ils ne le fasse pas.

La seul solution est de ne pas relier sa voiture à leur serveur.
votre avatar
Si seulement, je pense que si c'est pas déjà le cas, ça sera de plus en plus compliqué de se passer de cette connectivité 😕
votre avatar
Sans cette connectivité, le GPS intégré est basique (recherche classique par nom de rue qui prend 300 ans) et impossible d'utiliser l'application smartphone (cas de la mienne). On peut s'en passer, mais ça provoque un certain inconfort, sans oublier l'idée de payer un service qu'on utilise pas.
votre avatar
Je n’ai pas l’habitude des GPS de voitures. Par contre, sur mon smartphone, j’utilise des applications hors ligne. La recherche n’a rien de lent, et certaines sont compatibles avec Android Auto.

Les seules différences avec une appli connectée, ce sont le fait qu’il n’y a pas l’état du trafic et que les cartes sont plus précises, car basées sur OpenStreetMaps. Va-t-en accéder à un gîte au bout d’un chemin forestier inexistant sur Google Maps…
votre avatar
Le GPS embarqué met 15 plombes à afficher les résultats en mode hors-ligne. Peut-être qu'il essaye de se co et prend des timeout, j'en ai rien. En mode connecté, il fonctionne plus ou moins comme la version sur l'appli de la bagnole et peut chercher par nom de POI.

Sur l'appli l'itinéraire est fait avec Google Maps, en mode embarqué je pense que ça reste le logiciel du GPS. De toute façon il prend la main sur l'itinéraire et peut le modifier selon les conditions de circulation.
votre avatar
Les voitures qui sortent maintenant on parfois juste un écran pour afficher les données des applis fournies par un smartphone.

J'ai eu la blague avec une voiture de location courte durée. Même emplacement et même modèle de voiture que la semaine d'avant, sauf que c'était la nouvelle version.
Heureusement que j'ai une très mémoire géographique pour aller vers où j'avais prévus d'aller, car j'ai pas d'application type Waze etc
votre avatar
Le problème avec les EV, c'est que le GPS intégré est le seul à avoir accès aux infos du véhicule, notamment l'état de la batterie, c'est donc censé être le meilleur pour planifier les recharges lors de longs trajets... après, pour les 3 fois l'an où on fait des longs trajets...
votre avatar
Ça dépend, des appli comme Chargemap génèrent aussi des itinéraires qu'elles envoient ensuite à Waze (par ex). On peut indiquer dedans l'état actuel de la batterie pour lui donner un point de référence.
votre avatar
C'est joli de croire que les services de ton téléphone ne vont pas pousser les données en arrière plan quand tu vas récupérer la data (xG ou Wi-Fi) lorsque tu vas mettre à jour tes cartes OpenStreetMap ou faire autre chose en mode connecté ...

Et pas certains que les constructeurs n'aient pas pensé à un truc comme ça pour choper de la data via Apple et Google.
votre avatar
sans oublier l'idée de payer un service qu'on utilise pas
Quel service ?
votre avatar
La connectivité en ligne permet de profiter de fonctionnalités avancées du véhicule (déclenchement de clim à distance, envoie d'un POI au GPS, suivi de la recharge, etc). C'est du confort et pas indispensable, mais ça reste quelque chose de payé dans le prix.
votre avatar
C'est un abonnement obligatoire ? :eeek2:

Pourquoi la position du véhicule est envoyée au constructeur ? Le système de GPS embarqué n'en a pas besoin, techniquement.
votre avatar
Non, c'est un service qu'on active via l'appli, donc payé par le prix du véhicule.

L'appli a des options payantes supplémentaires (genre pour avoir un hotspot wifi, meilleur débit, etc).
votre avatar
Pas, pas certain que la voiture ne le fasse pas toute seule, après, on sait pas que c'est X ou Y qui conduit, et est propriétaire du véhicule, mais on sait qu'il fait le trajet tous les jours, de telle heure à telle heure, et la précision (10cm dans certains cas) permets dans un second temps de savoir qui c'est, ce qui en soit revient au même pour des personnes mal intentionnées avec certaines visées (bases militaire, renseignement, politiques, etc ..)
votre avatar
À Bleeping Computer, Cariad explique que l'accès aux données était possible à cause d'une mauvaise configuration de deux applications.
Deux applications IT d'après la source. En gros, ça sent le système à l'authentification faible ou insuffisamment configurée.

L'amateurisme IT/UX des industriels de l'automobile n'est pas une surprise pour moi, cela se voit de toute façon dans le logiciel embarqué des véhicules.

Un exemple sur mon modèle avec l'appli smartphone. Mon box de parking est une véritable cage de Fadaray. Quand la connectivité est HS, l'application indique que le véhicule est ouvert, batterie HT activée et démarré. J'ai aussi le coup de la notif permanente débile : "vous n'avez pas activé le battery care". Je l'active : "vous avez activé le battery care". Et hier j'ai découvert qu'appuyer à côté du bouton répondre pour un appel téléphonique raccroche purement et simplement.

Plutôt qu'amateurisme, j'en viens surtout à me demander si les concepteurs de ces systèmes les utilisent. Ou alors s'ils vivent dans une bulle de pensée.
votre avatar
L'amateurisme du groupe VW se voit en effet particulièrement dans leur application smartphone. L' app IOS e la CUPRA que je conduis actuellement (pas mon choix, voiture de société) pèse 600mb pour des fonctions de base qui ne fonctionnent pas la plupart du temps. Pour ce que cette app fait, c'est au moins 550mb de trop. Quelle programmation de qualité !
Ma voiture se trouve actuellement dans un parking souterrain sans réseau. J'ouvre l'app et elle me dit "updated just now", ce qui est impossible, elle dit que les phares sont allumés, ce qui est faux, et les champs batterie continuent leur animation d' affichage imminent depuis plusieurs minutes...

Avec une app de cette qualité, il est absolument hors de question que je paye pour cette app une fois la période gratuite échue.

Quant au gps intégré, c'est une catastrophe ! Je ne sais pas dans quel paquet de lessive Seat a été chercher sa cartographie... Sur les cinq premières adresses que j'ai entrées, deux étaient introuvables ! La première, c'était l'adresse de la déchèterie de ma ville, clairement un endroit où personne ne va jamais...
Mon premier gps (un Garmin de plus de 25 ans qui fonctionne toujours, à condition d'être patient) connaît toutes ces rues, c'est dire...
votre avatar
J'ai une Cupra et c'est effectivement le même comportement. Les seules fonctions pratiques de cette appli, c'est le lancement à distance de la clim/chauffage (bien pour désembuer en hiver) et l'envoi de POI au GPS. Ca va plus vite de chercher sur l'appli qui se base sur Google Maps plutôt que le GPS interne dont le clavier prend la moitié de l'écran et affiche dont les résultats sur deux lignes.

La période gratuite du service couvre la durée de ma LLD, donc ça va de ce côté.

Après, ça reste une bonne bagnole et j'en suis content. C'est juste que ces irritants viennent toujours un peu ternir le tableau.
votre avatar
Un vieux mais très intéressant article sur la rigueur du code dans les voitures : https://linuxfr.org/news/encore-un-exemple-de-code-spaghetti-toyota
Spoiler : c'était une horreur et je ne pense pas que ce se soit amélioré.

Des données de 800 000 voitures du groupe Volkswagen étaient accessibles en ligne

  • Les voitures électriques de Volkswagen, Seat, Audi ou Skoda touchées

  • Des politiques allemands et les allers et venues autour de lieux sensibles repérables

  • Une systématisation du stockage de données problématique

Fermer