800 000 Volkswagen électriques ont été exposées à la suite d’une violation de données dans une filiale du constructeur automobile. En Belgique, 38 000 voitures sont concernées.
Le constructeur automobile allemand Volkswagen, par l’intermédiaire de sa filiale Cariad, a accidentellement laissé ouvertes les données de 800 000 voitures électriques. Ces données provenaient d’applications que les conducteurs peuvent installer pour contrôler leur voiture via leur smartphone.
La fuite a été découverte par un dénonciateur anonyme qui a informé le journal Der Spiegel et l’organisation de pirates éthiques Chaos Computer Club de la violation de données. Cariad a colmaté la fuite quelques heures après en avoir été informée, mais les données sont restées accessibles pendant des mois.
Selon Der Spiegel, la violation de données porte sur des informations telles que la charge de la batterie des voitures et le fait que le moteur soit allumé ou éteint. Ces données pourraient être liées aux noms des conducteurs, des propriétaires et des gestionnaires de flotte. Pour les voitures en stationnement, la position GPS était visible. La précision de la localisation varie considérablement d’un modèle de voiture à l’autre, mais pour plus de la moitié des voitures, les données de localisation ont pu être déterminées à quelques centimètres près.
800 000 voitures
Au total, 800 000 voitures électriques de marques appartenant au groupe Volkswagen AG seraient concernées par cette violation de données. Les voitures les plus courantes sont les ID.3 et ID.4 de Volkswagen. Les modèles électriques de Seat, Audi et Skoda sont également courants.
La plus grande partie des véhicules concernés se trouve en Allemagne (300 000), mais la fuite a un impact international. 38 000 voitures touchées proviennent de Belgique. En outre, des dizaines de milliers de véhicules des Pays-Bas, de Scandinavie, de France, du Royaume-Uni, de Suisse et d’Autriche n’ont pas été épargnés non plus.
Mauvaise configuration
Cariad explique la fuite par une « mauvaise configuration » de son nuage AWS, qui a permis au stockage en nuage d’être accessible au public. L’enquête est en cours, mais Cariad peut d’ores et déjà affirmer avec certitude qu’il n’y a aucune preuve d’utilisation abusive par des tiers. Il n’y a pas non plus eu d’intrusion dans les systèmes de la filiale de Volkswagen.
L’incident soulève néanmoins de sérieuses questions sur la manière dont Volkswagen et d’autres constructeurs automobiles traitent les données des voitures et des conducteurs. Les voitures contemporaines sont des appareils connectés qui fournissent des données intéressantes, mais les constructeurs automobiles ne respectent pas toujours les principes de sécurité. Toyota a ainsi laissé l’accès aux données de ses clients ouvert pendant cinq ans. Dans une réponse aux médias allemands, Cariad a souligné qu’elle ne compilait pas de profils de localisation, mais d’autres recherches montrent que les données des voitures sont effectivement commercialisées sans le consentement des conducteurs.