Un défaut de sécurité chez Cariad, la filiale logicielle de Volkswagen, a mis en lumière une faille préoccupante : les données de localisation de 800 000 véhicules électriques en Europe ont été accessibles sur internet pendant plusieurs mois. Si cette vulnérabilité a depuis été corrigée, elle a révélé l’ampleur des risques liés à la connectivité accrue des véhicules modernes.
Des données personnelles accessibles à tous
Décidément, Volkswagen a du mal avec ses systèmes informatiques. La faille, dévoilée par un lanceur d’alerte au média allemand Spiegel et à un groupe de hackers européen, a permis de relier les données de localisation à d’autres informations personnelles, notamment les noms des propriétaires. Cette situation a exposé des personnalités publiques : Spiegel a pu suivre avec précision les déplacements d’un membre du Comité de la Défense allemande, jusqu’au domicile de son père et à une caserne militaire, ainsi que ceux d’une maire se rendant de son lieu de travail à son kinésithérapeute.
Plus inquiétant encore, plusieurs téraoctets de données étaient stockés sur des serveurs Amazon accessibles publiquement. Ces données comprenaient des informations sur 460 000 véhicules, permettant de déduire des habitudes de vie de leurs propriétaires. Les véhicules de la police de Hambourg, des membres des services de renseignement fédéraux et même des conducteurs de la base militaire américaine de Ramstein figuraient parmi les cibles potentielles.
Une faille corrigée, mais des questions restent
Le groupe de hackers Chaos Computer Club (CCC) a signalé la vulnérabilité à Cariad, qui a rapidement déployé un correctif. Selon Cariad, l’incident résultait d’une « mauvaise configuration » et les données n’étaient pas directement exploitables sans contourner plusieurs mécanismes de sécurité. La filiale a assuré qu’aucun acteur malveillant, à l’exception des chercheurs de CCC, n’avait accédé à ces informations.
Malgré cette réponse rapide, cet incident soulève des interrogations sur la gestion des données dans un contexte de mobilité connectée. Les constructeurs automobiles, à mesure qu’ils intègrent des technologies sophistiquées, doivent impérativement renforcer la protection des données pour éviter des situations similaires. La confiance des utilisateurs dans les véhicules connectés dépend en grande partie de la fiabilité des systèmes de sécurité.
