Volkswagen fait face à une grave fuite de données, exposant les informations personnelles d’environ un million de propriétaires de véhicules, y compris des personnalités publiques. Cette situation résulte d’une erreur technique dans l’application VW, associée à une sécurité cloud insuffisante. Les données sensibles, telles que les coordonnées GPS et des informations personnelles, étaient accessibles en ligne. Bien que des mesures aient été prises après l’alerte d’un groupe de hackers, la question de la responsabilité des fabricants en matière de sécurité des données se pose.
Les Risques de Sécurité des Données chez Volkswagen
Qui peut prédire combien de faux pas le groupe Volkswagen commettra d’ici la fin de 2024 ? Le dernier incident en date fait état d’un rapport d’un lanceur d’alerte révélant que les données personnelles de près d’un million de propriétaires de véhicules ont été laissées sans protection, accessibles à quiconque en ligne.
Une enquête menée par le média allemand Spiegel a révélé que les informations de localisation et les données personnelles d’environ 800 000 propriétaires de véhicules électriques — y compris celles de politiciens et d’autres personnalités publiques — étaient accessibles sur Internet pendant plusieurs mois. En d’autres termes, il était possible de savoir exactement où ces individus se trouvaient.
Comment une Erreur Technique a Mené à une Fuite de Données
Cette situation a été rendue possible grâce à une application VW, associée à une sécurité cloud inadéquate fournie par Amazon. L’application, développée par la filiale de Volkswagen, Cariad, est conçue pour améliorer l’expérience des utilisateurs en leur permettant de démarrer leur véhicule à distance, de contrôler le climat et de vérifier l’état de la batterie.
Cependant, l’application collecte également des données GPS et de conduite, envoyées au constructeur. Cariad a déclaré à Spiegel que les données « pseudonymisées » étaient utilisées pour optimiser les performances des batteries et des logiciels. Bien que l’entreprise ait affirmé que ces données n’étaient pas liées à d’autres ensembles d’informations internes, une faille estivale a exposé ces données sensibles au grand public, laissant les informations vulnérables à des cyberattaques.
La mauvaise sécurité a rendu visibles des sites de Cariad qui auraient dû rester protégés. Une extension de fichier a même conduit à un récent incident de fuite de données de l’application interne de Cariad, exposant des identifiants de connexion à un service de cloud Amazon, contenant des informations critiques sur les véhicules.
Parmi les véhicules concernés, environ 300 000 étaient basés en Allemagne, mais des données de véhicules dans d’autres pays européens ont également été compromises, bien qu’il ne soit pas clair si des véhicules nord-américains étaient touchés.
Les informations exposées comprenaient des données sensibles sur les propriétaires de véhicules électriques des marques Audi, Seat, Škoda et Volkswagen. Ces données étaient si détaillées qu’elles pouvaient révéler des informations sur des personnalités influentes, y compris des policiers et des agents de renseignement. Plus de 35 véhicules de patrouille de la police de Hambourg étaient inclus dans cette fuite.
Pour 460 000 propriétaires, les informations non sécurisées étaient alarmantes, avec des données de localisation précises à seulement 10 cm pour certains modèles. D’autres informations telles que des adresses e-mail, numéros de téléphone, et adresses étaient également compromises.
Ce n’est que lorsque le Chaos Computer Club, une importante association de hackers en Europe, a alerté Volkswagen sur cette vulnérabilité que des mesures ont été prises pour sécuriser les données. Cariad a affirmé n’avoir trouvé aucune preuve d’utilisation abusive des données par des tiers, et il n’y avait pas d’informations de paiement divulguées, ce qui pourrait rassurer les propriétaires.
Dans un monde où les objets connectés sont omniprésents, il est temps de se demander si la responsabilité de la sécurité des données incombe davantage aux fabricants qu’aux consommateurs. La commodité de fonctionnalités telles que le démarrage à distance justifie-t-elle le risque d’exposition des données personnelles ?