Connexion
Abonnez-vous

Les « kits de criminalistique automobile » peuvent cloner vos smartphones

Les « kits de criminalistique automobile » peuvent cloner vos smartphones

Le 10 mai 2021 à 08h01

Les douanes américaines (CBP) ont payé 456 073 dollars à la société suédoise d'extraction de données MSAB pour acheter cinq « kits de criminalistique automobile » iVe fabriqués par Berla, une société américaine. Objectif, aspirer des tonnes d'informations personnelles stockées à l'intérieur des voitures, selon un contrat fédéral examiné par The Intercept.

Un document connexe indique que le CBP estimait que le kit serait « essentiel dans les enquêtes du CBP car il peut fournir des preuves [non seulement] de l'utilisation du véhicule, mais également des informations obtenues via des appareils mobiles associés au système d'infodivertissement. »

MSAB affirme que ces données peuvent inclure « les destinations récentes, emplacements favoris, journaux d'appels, listes de contacts, messages SMS, e-mails, photos, vidéos, flux de réseaux sociaux et l'historique de navigation de partout où le véhicule a été ». 

MSAB vante même la possibilité de récupérer des données supprimées, des « plans futurs », « quand et où les lumières d'un véhicule sont allumées et quelles portes sont ouvertes et fermées à des endroits spécifiques », les « changements de vitesse, le compteur kilométrique, les cycles d'allumage, les journaux de vitesse, etc. », ou encore d'« identifier les associés connus et établir des modèles de communication entre eux ».

iVe est compatible avec plus de deux douzaines de marques de véhicules (Audi, BMW, Buick, Cadillac, Chevrolet, Chrysler, Dodge, Fiat, Ford, GMC, Hummer, Hyundai/Kia, Infinity, Jeep, Lincoln, Mercedes-Benz, Maserati, Mercury, Nissan, Pontiac, Ram, Saturn, Seat, Skoda, SRT, Toyota et Volkswagen), précise MSAB.

Interrogé par The Intercept, MSAB a refusé de commenter les risques pour la vie privée et les libertés, et déclaré que l'entreprise « ne définit pas de politique client ou de gouvernance sur l'utilisation ».

Le CBP, ainsi que d'autres services de police et de renseignement, seraient tout particulièrement intéressés par l'exploitation des sauvegardes ou synchronisations faites dans les véhicules – ce que nombre d'utilisateurs ignorent –, à mesure que les smartphones sont de plus en plus sécurisés, et chiffrés.

Lors d'une apparition en 2015 sur le podcast « The Forensic Lunch », le fondateur de Berla, Ben LeMere, avait expliqué que « les gens louent des voitures, font des choses avec et ne pensent même pas aux endroits où ils vont et à ce que la voiture enregistre. Lorsque vous le branchez sur le port USB, elle chargera votre téléphone, et aspirera toutes vos données. »

Il avait ainsi raconté avoir récupéré, sur une voiture de location, les journaux d'appels, contacts, préférences musicales et SMS des 70 téléphones qui s'y étaient connectés.

Un responsable de l'ACLU explique à The Intercept que « ce qu'ils nous disent, c'est : "Nous pouvons exploiter les gens parce qu'ils sont stupides". » Et ce, d'autant plus que cette technologie pourrait aussi être exploitée à fins de recherches téléphoniques sans mandat...

Le 10 mai 2021 à 08h01

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

S’ils ont pu récupérer des données de 70 téléphones sur un vieux Ford Explorer, j’imagine même pas ce qu’ils pourraient faire cracher à une Tesla Model 3 :D Mais c’est vrai qu’on n’imagine pas les informations qu’on laisse derrière soi dans … beaucoup de situations.

votre avatar

Ça fait bien longtemps que je n’ai pas utiliser une voiture de location.
Pour les voitures de mon boulot, j’appaire rarement mon téléphone et si je le fais, j’efface toujours l’appareil avant de rentre la voiture.
Mais est-ce que les données sont totalement et correctement effacées ???
Quid de la conformité au RGPD des systèmes embarqués dans les véhicules ?

votre avatar

J’avoue c’est dingue. Du coup, c’est une faille dans la sécurité du système, ou c’est juste qu’il y a pas de sécurité ?

votre avatar

Thorgalix_21 a dit:


Mais est-ce que les données sont totalement et correctement effacées ??? Quid de la conformité au RGPD des systèmes embarqués dans les véhicules ?


Clairement, la réponse est non : Les données subsistent. Car sur les vieux véhicules, la limite en nombre de téléphones connus était généralement très basse (3 ou 5 par exemple sur un véhicule de 2010). Donc s’ils ont extrait 70 d’un Explorer, c’est que tout subsiste.



Ta question concernant la RGPD est très juste et pose la question sur ce que les constructeurs font ou ont prévu de faire. Un bon sujet pour NXI en continuation de cet article !

votre avatar

Bon, qui veut revenir aux bonnes vieilles voitures sans électronique dedans ? :transpi:



A mon avis on n’est pas au bout de nos surprises, car je ne pense pas que la sécurité ou la confidentialité des données soient bien pris en compte par les développeurs des ordinateurs de bord des voitures ^^,

votre avatar

Quand les vieux systèmes tout pourris de Peugeot et Renault nous protègent ahah ! Tu peux prendre du moderne c’est tellement naze en électronique que ça semble pas compatible xD

votre avatar

eglyn a dit:


Bon, qui veut revenir aux bonnes vieilles voitures sans électronique dedans ? :transpi:


Pour l’instant, mes voitures personnelles ne disposent pas d’un système d’info-divertissement intégré. Mais cela n’empêche pas d’être vigilant.

votre avatar

eglyn a dit:


Bon, qui veut revenir aux bonnes vieilles voitures sans électronique dedans ? :transpi:


Camion de 1983, 700.000km, pas d’électronique (juste démarreur + alternateur + 3 jauges), roule comme une horloge, passe ses CT + antipollution haut la main, et j’ai quand même des ports USB + 500w de son en bluetooth (bon j’avoue ça c’est du fait maison :D ) => Je pense que je peux être serein :8



Concernant les véhicules pro, je me connecte exclusivement en bluetooth, et juste pour la musique (je n’autorise que “lecture du contenu multimédia” depuis le téléphone :windu: ). Perso je me tamponne le coquillard que le poste enregistre mon historique d’écoute (surtout qu’il faudrait une sacré mémoire :francais: )
Je pense que le problème viens des gens qui autorise tout en mode open bar (après en USB je ne sais pas comment on peut gérer les autorisation..), qui sont d’ailleurs sûrement les mêmes qui ont leur wifi / bluetooth / GPS activé en permanence alors qu’ils n’en n’ont pas besoin.. J’ai essayé “d’éduquer” certains cadres là dessus dans ma boite, mais même le côté économie d’énergie ne les convaincs pas.. du coup maintenant je laisse Darwin faire son travail.

votre avatar

Je roule également dans des tromblons hors d’age sans infotainment, mais à mon sens le soucis vient bien des constructeurs qui font la course à l’électronique embarqué sans se soucier des conséquences en matière de sécurité et non aux utilisateurs qui font confiances, puisque pour beaucoup ces systèmes sont maintenant systématiques/imposées.

votre avatar

Je rajouterais qu’ils ne sont jamais mis à jour, et utilisent pour la plupart des logiciels proprio tout moisis alors que tout existe déjà…
Quand je vois l’ordinateur de bord de ma Toyota Auris, ça fait peur quand on voir que n’importe quel smartphone Android à 100€ est 100 fois plus performant / ergonomique, et surement plus à jour… (pour peux qu’on soit sur Android One ^^)



J’ai jamais compris ce trip de réinventer la roue, alors qu’il suffit de mettre une sorte de tablette sous Android, qui pourrait se connecter au wifi (point accès tel par ex), faire les mise à jour etc… Et y a déjà tout dessus, appli pour la zic, gps, etc…

votre avatar

Alors certes les constructeurs font de la m :censored: , mais ma règle n°1 en informatique, surtout mobile (là où t’as le moins la main mise, et où on t’impose le plus de choses) c’est par défaut de ne pas faire confiance à un tiers..



C’est pas parce qu’on t’impose quelque chose que tu dois l’utiliser aveuglément.



Par exemple pour le cas cité ici, je n’aurais jamais pensé que le matos pouvait enregistrer tant d’infos, pourtant à chaque fois que j’ai connecté mon tel a une voiture, ça a toujours été avec les autorisation minimales par rapport à mon besoin..

votre avatar

Tu as raison, j’avoue ne pas avoir été confronté à une “moderne” depuis un bon moment, je n’ai donc pas été tenté de pairer mon tel à ce genre d’auto.
Il n’empêche que cette salubrité numérique que tu appliques, beaucoup ne l’applique déjà pas pour l’informatique en générale, alors en embarqué !



Ah ça ! Les constructeurs auto et l’informatique/l’électronique, cette vaste blague !
Déjà que t’es regardé de travers quand tu arrives avec une caisse de + de 10 ans et des questions bien précises en concession… alors mettre à jour un infotainment déjà dépassé à sa sortie ou le migrer sur autre chose :mdr:

votre avatar

Perso, je me trimballe toujours avec un cable usb dont les lignes de données ont été sectionnées. Comme ça, je peux brancher le téléphone où je veux (trains, avions, gares, aéroports…) sans me poser la question de savoir si mes données vont être absorbés ou non.

votre avatar

Joli level de parano lol!

votre avatar
votre avatar

non pas faux, par exemple lorsque je recharge une vapoteuse ou une torche électrique j’utilise toujours un tel câble, tel que fourni par le fabriquant d’ailleurs (l’inverse serait louche), puisque infecter un bios ou un driver n’a même pas besoin que tu lise des données.

votre avatar

Ça se trouve dans le commerce en USB-C ? Ou sinon tu as un bon tuto à me conseiller pour faire ça sans bousiller trop de câbles et sans foutre le feu? :D

votre avatar

Tu as un tuto à partager ?

votre avatar

Cherchez USB Condom ou même PortaPow bloqueur de données ( avec entre autres un adaptateur USB-C M-F )

votre avatar

@Neo1332, remk : Il y a différentes méthodes comme celle qui consiste à mettre du Kapton sur les pistes de données. De mon expérience, si la prise est un peu étroite, ça a tendance à retirer l’isolant. Celle que j’utilise actuellement, c’est une bidouille décrite ici : https://www.instructables.com/How-to-make-a-USB-no-data-charger-cable/
Perso, je prends soin de mettre un petit point de colle sur les fils sectionnées pour être tranquille.



Mais je pense que le mieux est :




FrDakota a dit:


Cherchez USB Condom ou même PortaPow bloqueur de données ( avec entre autres un adaptateur USB-C M-F )


votre avatar

Neo1322 a dit:



remk a dit:


Tu as un tuto à partager ?


Tu coupes tous les fils sauf les 2 de plus grosse section, rouges et noirs la plupart du temps
:)

votre avatar

:yes: Je vais explorer tout ça sur un câble pas cher pour commencer.

votre avatar

eglyn a dit:


J’ai jamais compris ce trip de réinventer la roue, alors qu’il suffit de mettre une sorte de tablette sous Android, qui pourrait se connecter au wifi (point accès tel par ex), faire les mise à jour etc… Et y a déjà tout dessus, appli pour la zic, gps, etc…


Tu seras content, les dernières électriques chez Volvo (Polestar 2 et XC40 P8) comme Volkswagen (ID4) embarquent désormais nativement Android Auto en lieu et place du système maison. Le début d’une généralisation très probablement.

votre avatar

Aucun constructeur Français dans la liste. Pour une fois que le snobisme nous profite… :D

votre avatar

Le vrai problème c’est qu’une boite de sécu arrive à exploiter des données stockées… ou que les constructeurs automobiles intègrent des outils qui aspirent tout, sans limite, sans dashboard et sans permettre au propriétaire du véhicule de les effacer ?
C’est auprès des constructeurs automobiles qu’il faut se plaindre là !
Mais que fait l’UFC Que Choisir ;)

votre avatar

J’avoue, j’utilise régulièrement des véhicules de locations et j’ai toujours branché mon téléphone dessus pour écouter ma musique et en guidage GPS.
:eeek2:

votre avatar

En tout cas, voilà une belle liste de marques à éviter…

votre avatar

bah je pense qu’ils vont integrer le reste dans pas longtemps



ils font toutes les marques americaines, presques toutes les japonaises et ils couvrent presque toute l’europe sauf PSA et volvo pour l’instant. Vu qu’ils font Nissan, ils tapent Renault aussi.



Extrait de leur site:
AUDI, BMW, Buick, Cadillac, Chevrolet, Chrysler, Dodge, FIAT, Ford, GMC, HUMMER, Hyundai/Kia, INFINITI, Jeep, Lincoln, Mercedes-Benz, Maserati, Mercury, Nissan, Pontiac, Ram, Saturn, SEAT, Skoda, SRT, Toyota and Volkswagen



Apres rien ne dit que la liste est exhaustive…

votre avatar

On peut acheter des cables USB avec “charge only” ? (quitte à ne pas profiter de la charge rapide pour l’USB-C), sans jouer du fer à souder pour couper les cables Data+ et Data- ?

votre avatar

Je pense que ça se trouve, j’en ai pas mal “d’origine constructeur” (mais des quel genre d’équipements j’en sais rien :D ).
Je les marque au scotch rouge maintenant, je me suis trop gratté la tête à pas comprendre pourquoi ils “marchaient pas” :transpi:

votre avatar

Comme indiqué plus haut, PortaPow propose des adaptateurs/câbles USB (A-A, A-C, C-A, C-C) avec uniquement la charge.

votre avatar

Il y a aussi des petites rallonges usb avec interrupteur “data/charge”.

votre avatar

(reply:1872874:Idiogène)
Peut etre qu’ils ont commence par les constructeurs qui vendent aux USA. Quand on voit la liste complete ca couvre 95% des marques qui se vendent ici.


votre avatar

quote:1872824:Neo1322)




Ça se trouve dans le commerce en USB-C ? Ou sinon tu as un bon tuto à me conseiller pour faire ça sans bousiller trop de câbles et sans foutre le feu?



GrosMatou27 a dit:


Tu coupes tous les fils sauf les 2 de plus grosse section, rouges et noirs la plupart du temps :)


Attention, avec un câble USB-C des 2 côtés, il faut éviter de couper le fil CC, sous peine de perdre en vitesse de charge, voire ne pas pouvoir charger du tout. Donc ne couper que la paire torsadée pour un câble USB 2.0, plus les 2 paires blindées (c’est à dire emballées individuellement) pour un câble USB 3.0 & USB 2.0, et laisser le reste.

votre avatar

(reply:1872945:Notice me Sempai)


Et je trouve cette liste suspecte : pourquoi Nissan irait acheter des pièces sans Renault ?
De ce que j’ai compris de ce vaste sujet il n’y a que PSA et quelques autres qui partent sur des systèmes de bord ad hoc conçus par eux.
Toute l’industrie dépend d’Android… alors forcément cela n’incite pas au sain contrôle avant production. :ouioui:

votre avatar

(reply:1872962:Idiogène)


De même, il y a FIAT dans la liste mais PSA. Le mariage est récent, mais d’ici peu, ce sera plateformes communes, économies d’échelles par réduction des références et fournisseurs des composants…

Les « kits de criminalistique automobile » peuvent cloner vos smartphones

Fermer