Les douanes américaines (CBP) ont payé 456 073 dollars à la société suédoise d'extraction de données MSAB pour acheter cinq « kits de criminalistique automobile » iVe fabriqués par Berla, une société américaine. Objectif, aspirer des tonnes d'informations personnelles stockées à l'intérieur des voitures, selon un contrat fédéral examiné par The Intercept.
Un document connexe indique que le CBP estimait que le kit serait « essentiel dans les enquêtes du CBP car il peut fournir des preuves [non seulement] de l'utilisation du véhicule, mais également des informations obtenues via des appareils mobiles associés au système d'infodivertissement. »
MSAB affirme que ces données peuvent inclure « les destinations récentes, emplacements favoris, journaux d'appels, listes de contacts, messages SMS, e-mails, photos, vidéos, flux de réseaux sociaux et l'historique de navigation de partout où le véhicule a été ».
MSAB vante même la possibilité de récupérer des données supprimées, des « plans futurs », « quand et où les lumières d'un véhicule sont allumées et quelles portes sont ouvertes et fermées à des endroits spécifiques », les « changements de vitesse, le compteur kilométrique, les cycles d'allumage, les journaux de vitesse, etc. », ou encore d'« identifier les associés connus et établir des modèles de communication entre eux ».
iVe est compatible avec plus de deux douzaines de marques de véhicules (Audi, BMW, Buick, Cadillac, Chevrolet, Chrysler, Dodge, Fiat, Ford, GMC, Hummer, Hyundai/Kia, Infinity, Jeep, Lincoln, Mercedes-Benz, Maserati, Mercury, Nissan, Pontiac, Ram, Saturn, Seat, Skoda, SRT, Toyota et Volkswagen), précise MSAB.
Interrogé par The Intercept, MSAB a refusé de commenter les risques pour la vie privée et les libertés, et déclaré que l'entreprise « ne définit pas de politique client ou de gouvernance sur l'utilisation ».
Le CBP, ainsi que d'autres services de police et de renseignement, seraient tout particulièrement intéressés par l'exploitation des sauvegardes ou synchronisations faites dans les véhicules – ce que nombre d'utilisateurs ignorent –, à mesure que les smartphones sont de plus en plus sécurisés, et chiffrés.
Lors d'une apparition en 2015 sur le podcast « The Forensic Lunch », le fondateur de Berla, Ben LeMere, avait expliqué que « les gens louent des voitures, font des choses avec et ne pensent même pas aux endroits où ils vont et à ce que la voiture enregistre. Lorsque vous le branchez sur le port USB, elle chargera votre téléphone, et aspirera toutes vos données. »
Il avait ainsi raconté avoir récupéré, sur une voiture de location, les journaux d'appels, contacts, préférences musicales et SMS des 70 téléphones qui s'y étaient connectés.
Un responsable de l'ACLU explique à The Intercept que « ce qu'ils nous disent, c'est : "Nous pouvons exploiter les gens parce qu'ils sont stupides". » Et ce, d'autant plus que cette technologie pourrait aussi être exploitée à fins de recherches téléphoniques sans mandat...
Commentaires (36)
#1
S’ils ont pu récupérer des données de 70 téléphones sur un vieux Ford Explorer, j’imagine même pas ce qu’ils pourraient faire cracher à une Tesla Model 3
Mais c’est vrai qu’on n’imagine pas les informations qu’on laisse derrière soi dans … beaucoup de situations.
#2
Ça fait bien longtemps que je n’ai pas utiliser une voiture de location.
Pour les voitures de mon boulot, j’appaire rarement mon téléphone et si je le fais, j’efface toujours l’appareil avant de rentre la voiture.
Mais est-ce que les données sont totalement et correctement effacées ???
Quid de la conformité au RGPD des systèmes embarqués dans les véhicules ?
#3
J’avoue c’est dingue. Du coup, c’est une faille dans la sécurité du système, ou c’est juste qu’il y a pas de sécurité ?
#4
Clairement, la réponse est non : Les données subsistent. Car sur les vieux véhicules, la limite en nombre de téléphones connus était généralement très basse (3 ou 5 par exemple sur un véhicule de 2010). Donc s’ils ont extrait 70 d’un Explorer, c’est que tout subsiste.
Ta question concernant la RGPD est très juste et pose la question sur ce que les constructeurs font ou ont prévu de faire. Un bon sujet pour NXI en continuation de cet article !
#5
Bon, qui veut revenir aux bonnes vieilles voitures sans électronique dedans ?
A mon avis on n’est pas au bout de nos surprises, car je ne pense pas que la sécurité ou la confidentialité des données soient bien pris en compte par les développeurs des ordinateurs de bord des voitures ^^,
#5.1
Quand les vieux systèmes tout pourris de Peugeot et Renault nous protègent ahah ! Tu peux prendre du moderne c’est tellement naze en électronique que ça semble pas compatible xD
#6
Pour l’instant, mes voitures personnelles ne disposent pas d’un système d’info-divertissement intégré. Mais cela n’empêche pas d’être vigilant.
#7
Camion de 1983, 700.000km, pas d’électronique (juste démarreur + alternateur + 3 jauges), roule comme une horloge, passe ses CT + antipollution haut la main, et j’ai quand même des ports USB + 500w de son en bluetooth (bon j’avoue ça c’est du fait maison
) => Je pense que je peux être serein 
Concernant les véhicules pro, je me connecte exclusivement en bluetooth, et juste pour la musique (je n’autorise que “lecture du contenu multimédia” depuis le téléphone
). Perso je me tamponne le coquillard que le poste enregistre mon historique d’écoute (surtout qu’il faudrait une sacré mémoire 
)
Je pense que le problème viens des gens qui autorise tout en mode open bar (après en USB je ne sais pas comment on peut gérer les autorisation..), qui sont d’ailleurs sûrement les mêmes qui ont leur wifi / bluetooth / GPS activé en permanence alors qu’ils n’en n’ont pas besoin.. J’ai essayé “d’éduquer” certains cadres là dessus dans ma boite, mais même le côté économie d’énergie ne les convaincs pas.. du coup maintenant je laisse Darwin faire son travail.
#7.1
Je roule également dans des tromblons hors d’age sans infotainment, mais à mon sens le soucis vient bien des constructeurs qui font la course à l’électronique embarqué sans se soucier des conséquences en matière de sécurité et non aux utilisateurs qui font confiances, puisque pour beaucoup ces systèmes sont maintenant systématiques/imposées.
#7.2
Je rajouterais qu’ils ne sont jamais mis à jour, et utilisent pour la plupart des logiciels proprio tout moisis alors que tout existe déjà…
Quand je vois l’ordinateur de bord de ma Toyota Auris, ça fait peur quand on voir que n’importe quel smartphone Android à 100€ est 100 fois plus performant / ergonomique, et surement plus à jour… (pour peux qu’on soit sur Android One ^^)
J’ai jamais compris ce trip de réinventer la roue, alors qu’il suffit de mettre une sorte de tablette sous Android, qui pourrait se connecter au wifi (point accès tel par ex), faire les mise à jour etc… Et y a déjà tout dessus, appli pour la zic, gps, etc…
#7.3
Alors certes les constructeurs font de la m
, mais ma règle n°1 en informatique, surtout mobile (là où t’as le moins la main mise, et où on t’impose le plus de choses) c’est par défaut de ne pas faire confiance à un tiers..
C’est pas parce qu’on t’impose quelque chose que tu dois l’utiliser aveuglément.
Par exemple pour le cas cité ici, je n’aurais jamais pensé que le matos pouvait enregistrer tant d’infos, pourtant à chaque fois que j’ai connecté mon tel a une voiture, ça a toujours été avec les autorisation minimales par rapport à mon besoin..
#7.4
Tu as raison, j’avoue ne pas avoir été confronté à une “moderne” depuis un bon moment, je n’ai donc pas été tenté de pairer mon tel à ce genre d’auto.
Il n’empêche que cette salubrité numérique que tu appliques, beaucoup ne l’applique déjà pas pour l’informatique en générale, alors en embarqué !
Ah ça ! Les constructeurs auto et l’informatique/l’électronique, cette vaste blague !
Déjà que t’es regardé de travers quand tu arrives avec une caisse de + de 10 ans et des questions bien précises en concession… alors mettre à jour un infotainment déjà dépassé à sa sortie ou le migrer sur autre chose
#8
Perso, je me trimballe toujours avec un cable usb dont les lignes de données ont été sectionnées. Comme ça, je peux brancher le téléphone où je veux (trains, avions, gares, aéroports…) sans me poser la question de savoir si mes données vont être absorbés ou non.
#8.1
Joli level de parano lol!
#8.4
Seuls les paranoïaques survivent.
#8.5
non pas faux, par exemple lorsque je recharge une vapoteuse ou une torche électrique j’utilise toujours un tel câble, tel que fourni par le fabriquant d’ailleurs (l’inverse serait louche), puisque infecter un bios ou un driver n’a même pas besoin que tu lise des données.
#8.2
Ça se trouve dans le commerce en USB-C ? Ou sinon tu as un bon tuto à me conseiller pour faire ça sans bousiller trop de câbles et sans foutre le feu?
#8.3
Tu as un tuto à partager ?
#9
Cherchez USB Condom ou même PortaPow bloqueur de données ( avec entre autres un adaptateur USB-C M-F )
#10
@Neo1332, remk : Il y a différentes méthodes comme celle qui consiste à mettre du Kapton sur les pistes de données. De mon expérience, si la prise est un peu étroite, ça a tendance à retirer l’isolant. Celle que j’utilise actuellement, c’est une bidouille décrite ici : https://www.instructables.com/How-to-make-a-USB-no-data-charger-cable/
Perso, je prends soin de mettre un petit point de colle sur les fils sectionnées pour être tranquille.
Mais je pense que le mieux est :
#11
Tu coupes tous les fils sauf les 2 de plus grosse section, rouges et noirs la plupart du temps
:)
#11.1
#12
Tu seras content, les dernières électriques chez Volvo (Polestar 2 et XC40 P8) comme Volkswagen (ID4) embarquent désormais nativement Android Auto en lieu et place du système maison. Le début d’une généralisation très probablement.
#13
Aucun constructeur Français dans la liste. Pour une fois que le snobisme nous profite…
#14
Le vrai problème c’est qu’une boite de sécu arrive à exploiter des données stockées… ou que les constructeurs automobiles intègrent des outils qui aspirent tout, sans limite, sans dashboard et sans permettre au propriétaire du véhicule de les effacer ?
C’est auprès des constructeurs automobiles qu’il faut se plaindre là !
Mais que fait l’UFC Que Choisir ;)
#15
J’avoue, j’utilise régulièrement des véhicules de locations et j’ai toujours branché mon téléphone dessus pour écouter ma musique et en guidage GPS.
#16
En tout cas, voilà une belle liste de marques à éviter…
#16.1
bah je pense qu’ils vont integrer le reste dans pas longtemps
ils font toutes les marques americaines, presques toutes les japonaises et ils couvrent presque toute l’europe sauf PSA et volvo pour l’instant. Vu qu’ils font Nissan, ils tapent Renault aussi.
Extrait de leur site:
AUDI, BMW, Buick, Cadillac, Chevrolet, Chrysler, Dodge, FIAT, Ford, GMC, HUMMER, Hyundai/Kia, INFINITI, Jeep, Lincoln, Mercedes-Benz, Maserati, Mercury, Nissan, Pontiac, Ram, Saturn, SEAT, Skoda, SRT, Toyota and Volkswagen
Apres rien ne dit que la liste est exhaustive…
#17
On peut acheter des cables USB avec “charge only” ? (quitte à ne pas profiter de la charge rapide pour l’USB-C), sans jouer du fer à souder pour couper les cables Data+ et Data- ?
#17.1
Je pense que ça se trouve, j’en ai pas mal “d’origine constructeur” (mais des quel genre d’équipements j’en sais rien
).
Je les marque au scotch rouge maintenant, je me suis trop gratté la tête à pas comprendre pourquoi ils “marchaient pas”
#17.2
Comme indiqué plus haut, PortaPow propose des adaptateurs/câbles USB (A-A, A-C, C-A, C-C) avec uniquement la charge.
#17.3
Il y a aussi des petites rallonges usb avec interrupteur “data/charge”.
#18
#19
quote:1872824:Neo1322)
Attention, avec un câble USB-C des 2 côtés, il faut éviter de couper le fil CC, sous peine de perdre en vitesse de charge, voire ne pas pouvoir charger du tout. Donc ne couper que la paire torsadée pour un câble USB 2.0, plus les 2 paires blindées (c’est à dire emballées individuellement) pour un câble USB 3.0 & USB 2.0, et laisser le reste.
#20
Et je trouve cette liste suspecte : pourquoi Nissan irait acheter des pièces sans Renault ?
De ce que j’ai compris de ce vaste sujet il n’y a que PSA et quelques autres qui partent sur des systèmes de bord ad hoc conçus par eux.
Toute l’industrie dépend d’Android… alors forcément cela n’incite pas au sain contrôle avant production.
#21
De même, il y a FIAT dans la liste mais PSA. Le mariage est récent, mais d’ici peu, ce sera plateformes communes, économies d’échelles par réduction des références et fournisseurs des composants…