Des données de 800 000 voitures du groupe Volkswagen étaient accessibles en ligne
Voiture du peuple géolocalisée
Cariad, l'unité du groupe Volkswagen dédiée aux logiciels automobiles, a exposé publiquement les données de 800 000 voitures électriques du groupe. Pour plus de la moitié d'entre elles, la géolocalisation précise du véhicule pouvait être reliée aux noms des clients. Cette faille a été trouvée par le Chaos Computer Club et révélée publiquement par le journal allemand Spiegel.
Le 30 décembre 2024 à 17h05
5 min
Sécurité
Sécurité
Quelques téraoctets de données concernant les voitures électriques des clients de plusieurs marques du groupe Volkswagen ont été exposées pendant plusieurs mois sur le cloud d'Amazon Web Services par Cariad, la filiale logiciels du groupe, a révélé vendredi 27 décembre le journal allemand Spiegel.
Les voitures électriques de Volkswagen, Seat, Audi ou Skoda touchées
Si vous possédez une voiture électrique des marques Volkswagen, Seat, Audi ou Skoda, ses données sont susceptibles d'être concernées. Une grande partie des voitures (300 000) que le journal allemand a pu recenser dans ces données est située en Allemagne. Les deux autres pays les plus touchés sont la Norvège avec 80 000 véhicules et la Suède avec 68 000 véhicules. 53 000 autres sont situés en France et 38 000 en Belgique.
À Bleeping Computer, Cariad explique que l'accès aux données était possible à cause d'une mauvaise configuration de deux applications.
Le Chaos Computer Club (CCC) a informé l'entreprise de l'existence de cette faille le 26 novembre dernier. Selon le Spiegel, l'organisation de hackers qui se réunit tous les ans en fin d'année (sa conférence 38C3 a lieu cette année du 27 au 30 décembre) a été mise au courant du problème par un lanceur d'alerte et a testé l'accès avant d'informer l'entreprise et le groupe automobile allemand.
Selon Cariad, les données concernaient les véhicules connectés à Internet et enregistrés pour des services en ligne. Le CCC aurait accédé aux données après avoir « contourné plusieurs mécanismes de sécurité qui ont nécessité beaucoup de temps et d'expertise technique », sans que l'entreprise n'entre plus dans les détails.
D'après le Spiegel, cela dit, les données de géolocalisation de 460 000 véhicules étaient disponibles, parfois avec une précision de 10 centimètres.
Des politiques allemands et les allers et venues autour de lieux sensibles repérables
Le journal allemand a ainsi pu associer certaines voitures à leurs propriétaires. 35 voitures électriques de la police de Hambourg ont été repérées, ainsi que des voitures de personnalités politiques allemandes. Le membre du Bundestag Markus Grübel et Nadja Weippert (femme politique locale) font, par exemple, partie des personnes dont les voitures ont pu être repérées. Si l'entreprise a mis en place une politique de pseudonymisation des voitures pour des raisons de confidentialité, le CCC et le Spiegel ont réussi à passer outre.
La faille concerne plusieurs centaines de milliers de voitures, car les marques concernées du groupe Volkswagen utilisent la même plateforme logicielle pour gérer leurs véhicules électriques. Le Chaos Computer Club explique que les modèles concernés sont les voitures des séries ID3, ID4 et ID7 de Volkswagen, la série e-Tron d'Audi et les Cupra de Seat (sans préciser quels sont les modèles de Skoda concernés).
Cariad a affirmé à Bleeping Computer qu'elle avait résolu le problème le jour même où le Chaos Computer Club le lui a signalé, ce que ce dernier a confirmé. Il n'y a aucune preuve que d'autres personnes ont pu accéder aux données en question et donc que ces données aient été utilisées de façon mal intentionnée.
Le Spiegel souligne néanmoins le caractère problématique des données récoltées. Il explique notamment qu'il était en capacité de dire « quelle voiture se gare chaque jour entre 8 et 17 heures aux alentours des bâtiments du service fédéral de renseignement ou quelle autre se rend à l'aérodrome militaire de l'armée américaine de la ville de Ramstein ».
Une systématisation du stockage de données problématique
De son côté, le groupe de hackers pointe du doigt le fait que le groupe Volkswagen a systématisé le stockage des données sur « les déplacements de centaines de véhicules des marques VW, Audi, Skoda et Seat » et ce « sur de longues périodes ». Il explique avoir constaté que des « données sensibles relatives aux accidents de la route ont également été recueillies ».
« Le problème est que ces données ont été collectées en premier lieu et stockées pendant une période aussi longue. Le fait qu'elles aient été mal protégées en plus de cela ne fait que mettre la cerise sur le gâteau », a déclaré Linus Neumann, porte-parole du Chaos Computer Club. L'organisation ne précise pour autant pas la période concernée.
L'entreprise précise à Bleeping Computer que les données collectées à partir des véhicules l'aident à « fournir, développer et améliorer les fonctions numériques » pour ses clients et créer des fonctionnalités supplémentaires.
Le Chaos Computer Club explique en détail dans une conférence (un doublage audio en français est disponible) comment il a pu récupérer toutes ces données.
Des données de 800 000 voitures du groupe Volkswagen étaient accessibles en ligne
-
Les voitures électriques de Volkswagen, Seat, Audi ou Skoda touchées
-
Des politiques allemands et les allers et venues autour de lieux sensibles repérables
-
Une systématisation du stockage de données problématique
Commentaires (28)
Le 30/12/2024 à 17h54
Ah ben tout va bien alors! C´est bon, ne changez rien, on vous fout la paix. Pardon.
On referme la porte en sortant?
Le 30/12/2024 à 22h33
Le 01/01/2025 à 13h30
Modifié le 30/12/2024 à 18h28
Le 30/12/2024 à 18h40
Le 30/12/2024 à 22h23
Le 30/12/2024 à 19h07
Le 30/12/2024 à 19h12
Modifié le 30/12/2024 à 23h25
La seul solution est de ne pas relier sa voiture à leur serveur.
Le 30/12/2024 à 23h43
Modifié le 31/12/2024 à 08h54
Le 31/12/2024 à 10h44
Les seules différences avec une appli connectée, ce sont le fait qu’il n’y a pas l’état du trafic et que les cartes sont plus précises, car basées sur OpenStreetMaps. Va-t-en accéder à un gîte au bout d’un chemin forestier inexistant sur Google Maps…
Le 31/12/2024 à 11h26
Sur l'appli l'itinéraire est fait avec Google Maps, en mode embarqué je pense que ça reste le logiciel du GPS. De toute façon il prend la main sur l'itinéraire et peut le modifier selon les conditions de circulation.
Le 31/12/2024 à 12h53
J'ai eu la blague avec une voiture de location courte durée. Même emplacement et même modèle de voiture que la semaine d'avant, sauf que c'était la nouvelle version.
Heureusement que j'ai une très mémoire géographique pour aller vers où j'avais prévus d'aller, car j'ai pas d'application type Waze etc
Le 31/12/2024 à 11h41
Modifié le 31/12/2024 à 13h41
Le 31/12/2024 à 14h16
Et pas certains que les constructeurs n'aient pas pensé à un truc comme ça pour choper de la data via Apple et Google.
Le 03/01/2025 à 09h42
Quant à mon téléphone, il est sous /e/os et n’a donc pas les services Google. Ce n’est d’ailleurs que quand j’ai appris l’existence d’e/os que j’ai accepté d’acquérir un smartphone.
Après, pour en revenir au sujet principal, c’est clair que, quand j’emprunte une voiture, je n’ai aucun contrôle sur ce qu’elle recueille et transmet comme informations. :/
Le 02/01/2025 à 00h17
Le 02/01/2025 à 10h19
Le 02/01/2025 à 11h16
Pourquoi la position du véhicule est envoyée au constructeur ? Le système de GPS embarqué n'en a pas besoin, techniquement.
Le 02/01/2025 à 11h41
L'appli a des options payantes supplémentaires (genre pour avoir un hotspot wifi, meilleur débit, etc).
Le 31/12/2024 à 14h13
Modifié le 31/12/2024 à 09h08
L'amateurisme IT/UX des industriels de l'automobile n'est pas une surprise pour moi, cela se voit de toute façon dans le logiciel embarqué des véhicules.
Un exemple sur mon modèle avec l'appli smartphone. Mon box de parking est une véritable cage de Fadaray. Quand la connectivité est HS, l'application indique que le véhicule est ouvert, batterie HT activée et démarré. J'ai aussi le coup de la notif permanente débile : "vous n'avez pas activé le battery care". Je l'active : "vous avez activé le battery care". Et hier j'ai découvert qu'appuyer à côté du bouton répondre pour un appel téléphonique raccroche purement et simplement.
Plutôt qu'amateurisme, j'en viens surtout à me demander si les concepteurs de ces systèmes les utilisent. Ou alors s'ils vivent dans une bulle de pensée.
Modifié le 31/12/2024 à 11h28
Ma voiture se trouve actuellement dans un parking souterrain sans réseau. J'ouvre l'app et elle me dit "updated just now", ce qui est impossible, elle dit que les phares sont allumés, ce qui est faux, et les champs batterie continuent leur animation d' affichage imminent depuis plusieurs minutes...
Avec une app de cette qualité, il est absolument hors de question que je paye pour cette app une fois la période gratuite échue.
Quant au gps intégré, c'est une catastrophe ! Je ne sais pas dans quel paquet de lessive Seat a été chercher sa cartographie... Sur les cinq premières adresses que j'ai entrées, deux étaient introuvables ! La première, c'était l'adresse de la déchèterie de ma ville, clairement un endroit où personne ne va jamais...
Mon premier gps (un Garmin de plus de 25 ans qui fonctionne toujours, à condition d'être patient) connaît toutes ces rues, c'est dire...
Modifié le 31/12/2024 à 11h29
La période gratuite du service couvre la durée de ma LLD, donc ça va de ce côté.
Après, ça reste une bonne bagnole et j'en suis content. C'est juste que ces irritants viennent toujours un peu ternir le tableau.
Modifié le 31/12/2024 à 11h50
Spoiler : c'était une horreur et je ne pense pas que ce se soit amélioré.
Le 03/01/2025 à 18h26