Les choses ne vont pas très bien chez Volkswagen en ce moment et même même si le dernier scandale ne n’atteindra probablement pas le niveau de Le scandale des émissions de diesel, une faillite de sécurité du développeur de logiciels interne de VW Cariad a révélé l’emplacement d’environ 800 000 véhicules électriques aux pirates informatiques. Les propriétaires de l’application utilisée pour accéder à de nombreuses fonctions de leurs voitures, notamment le préchauffage des voitures et la vérification de leurs niveaux de charge, auraient laissé les données collectées en grande mesure sans protection, Le Spiegel rapporte.
Les lieux fréquentés par les gens et les autres données qui pourraient potentiellement être utilisées pour créer un profil détaillé d’un propriétaire et de ses déplacements ne devraient pas être accessibles aux personnes extérieures, mais selon Spiegel, plusieurs téraoctets de données sur les propriétaires ont été stockés sur le cloud d’Amazon et accessibles aux pirates informatiques pendant des mois. Si les données avaient été anonymes, cela aurait été déjà assez grave, mais elles auraient également pu être liées aux propriétaires et à leurs coordonnées, ce qui aggraverait encore la situation. Les personnes concernées, y compris certains politiciens locaux, ne sont pas satisfaites :
Un lanceur d’alerte a fait part de cette grave vulnérabilité de sécurité au Chaos Computer Club et au SPIEGEL. Nadja Weippert et Markus Grübel ont accepté que des journalistes examinent de plus près les données de leurs voitures dans le cadre de leurs recherches.
« Je suis choquée », déclare Weippert lorsque SPIEGEL lui montre ses données de localisation des derniers mois. En tant que femme politique locale et nationale, elle est exposée à l’hostilité et aux menaces. « Il est impossible que mes données soient stockées sans cryptage dans le cloud d’Amazon et qu’elles ne soient même pas correctement protégées », déclare-t-elle. « J’attends de VW qu’il mette fin à cela, qu’il collecte moins de données dans l’ensemble et qu’il les rende anonymes dans tous les cas. »
Grübel trouve également cette fuite de données « ennuyeuse et embarrassante » et affirme qu’elle ne renforce pas vraiment la confiance dans l’industrie automobile allemande. « En particulier en ce qui concerne la conduite autonome et les éventuelles attaques de piratage informatique manipulatrices, les compétences informatiques des constructeurs doivent encore être clairement améliorées de manière significative. »
Lorsque Spiegel a examiné les données, il a pu voir l’emplacement exact d’environ 460 000 véhicules et a pu facilement suivre les déplacements d’individus, notamment des politiciens, des dirigeants d’entreprise et même des membres du département de police de Hambourg. Vous voulez voir quels propriétaires de Volkswagen, Seat, Skoda et Audi visitent le bordel Artemis à Berlin ? sy peasy. La bonne nouvelle pour les clients mariés du bordel est que Spiegel est un journal, et pas un réseau d’extorsion international. En même temps, s’il était possible pour les journalistes d’obtenir ces informations, il n’y a aucune raison de croire qu’elles n’étaient pas également disponibles aux gouvernements étrangers, aux maîtres chanteurs ou aux gouvernements étrangers cherchant à faire du chantage.
La bonne nouvelle est que lorsque les membres du Chaos Computer Club ont contacté Cariad, l’entreprise aurait réagi rapidement pour résoudre le problème. Comme l’a déclaré le porte-parole Linus Neumann à Spiegel, « l’équipe technique de Cariad a réagi rapidement, minutieusement et de manière responsable ». Néanmoins, c’est un énorme problème que cela ait pu se produire au départ, surtout si l’on considère la facilité d’accès aux données :
Une équipe de SPIEGEL composée d’experts informatiques et de journalistes a pu reproduire la vulnérabilité à l’avance. Ni les services de renseignement, ni les concurrents de VW espions, ni les criminels ni même les adolescents qui s’ennuient n’auraient eu de réel problème pour y accéder.
Tout était à l’air libre, il fallait juste savoir où chercher. Rien de plus que quelques programmes informatiques disponibles gratuitement, qui sont des outils standards pour les criminels. pirates informatiques Des experts en sécurité informatique étaient nécessaires.
Pour le dire simplement, ils ont permis de trouver certains sites Web Cariad et leurs sous-pages en devinant systématiquement, même si certains d’entre eux sont invisibles pour les utilisateurs normaux. Cela a rendu visibles des chemins qui menaient directement à des fichiers dont les extensions indiquaient qu’ils pouvaient contenir du contenu sensible. L’un de ces chemins menait à une copie du vidage de mémoire actuel d’une application Cariad interne. un fichier ne devrait pas être disponible du tout sur l’Internet ouvert, ou du moins pas sans protection par mot de passe. Les programmes et processus de sécurité modernes devraient être capables de détecter une telle omission. Comme ce n’était pas le cas avec Cariad, les attaquants auraient pu simplement télécharger et ouvrir le vidage mémoire. Il contenait – facilement retrouvé – les données d’accès à une installation de stockage dans le cloud d’Amazon.
Le stockage en nuage contenait les données des différents véhicules, immédiatement reconnaissables aux noms du niveau de charge de la batterie, de l’état d’inspection et des catégories « moteur allumé » et « moteur éteint ». Ces dernières contenaient non seulement l’heure, mais également les lignes de longitude et de latitude et donc la position de la voiture lorsque le moteur électrique était éteint. Dans le cas des modèles VW et Seat, ces géodonnées étaient précises à dix centimètres près, et pour les Audi et les Skoda à dix kilomètres près, ce qui posait donc moins de problèmes.
D’autres données d’accès ont été trouvées ailleurs, cette fois pour un service spécifique à VW. Cela permet aux propriétaires de voitures de créer un profil personnel via une application et de le lier à leur véhicule. Ces données d’accès ont permis d’interroger la base de données de VW pour tous les utilisateurs enregistrés de l’application et de la lier au premier ensemble de données de voiture. Cela a permis d’attribuer les données détaillées sur les mouvements à des individus, y compris les adresses e-mail et, dans certains cas, les adresses et les numéros de téléphone portable. Linus Neumann du CCC compare ce système à « un énorme trousseau de clés sous un paillasson bien trop petit. »
Ouais, ce n’est pas bon du tout. L’enquête de Spiegel est également bien plus complexe, alors n’hésitez pas à vous y rendre et Lisez attentivement l’article traduit par Google. À moins que vous ne parliez allemand, auquel cas, vous vous en sortir mieux que la plupart d’entre nous.
H/T: Moteur1
Ce contenu a été traduit automatiquement à partir du texte original. De légères différences résultant de la traduction automatique peuvent apparaître. Pour la version originale, cliquez ici.