Volkswagen exposé par une faille de sécurité majeure
Imaginez un instant que vos déplacements en voiture soient traqués au centimètre près, sans votre consentement. C'est le cauchemar vécu par 800 000 propriétaires de voitures électriques Volkswagen, Audi, Seat et Skoda. Une faille de sécurité majeure chez Cariad, la division logicielle du groupe allemand, a en effet exposé leurs données personnelles pendant plusieurs mois. Retour sur ce scandale qui ébranle l'industrie automobile et la confiance dans les véhicules connectés.
L'ampleur de la faille de sécurité chez Volkswagen
C'est le magazine Der Spiegel qui a révélé l'affaire fin novembre 2022. Pendant des mois, un fichier contenant des clés d'accès à une instance cloud Amazon de Cariad est resté accessible sans protection. Résultat, ce sont plusieurs téraoctets de données sensibles qui ont fuité :
- Les noms et coordonnées des conducteurs, propriétaires et gestionnaires de flotte de 800 000 véhicules électriques
- Les données de géolocalisation précises à 10 cm près pour 460 000 voitures, notamment les modèles ID.3 et ID.4 de VW
- Le niveau de charge de la batterie et le statut du moteur (allumé ou éteint)
Ces informations étaient collectées pour optimiser les fonctionnalités intelligentes des futures batteries et logiciels de recharge. Mais entre de mauvaises mains, elles auraient pu permettre de suivre à la trace certaines personnalités comme des politiques, chefs d'entreprise ou agents de renseignement ayant un véhicule concerné.
Une erreur de configuration en cause
Selon Cariad, cette exposition massive de données résulte d'une simple erreur de configuration de l'instance cloud. Le groupe assure que la faille a été corrigée dès qu'ils en ont été informés fin novembre par des experts en cybersécurité. Aucune exploitation malveillante n'aurait eu lieu. Néanmoins, les dégâts en termes d'image et de confiance sont considérables pour Volkswagen et les autres marques impactées.
Cette fuite de données met en lumière les risques liés à la centralisation des informations des véhicules connectés par les constructeurs. Il est crucial de renforcer leur protection.
Jürgen Schmidt, expert en cybersécurité allemand
Les leçons à tirer pour l'avenir de la voiture connectée
Au delà de Volkswagen, ce scandale doit servir d'électrochoc à toute l'industrie automobile qui se rue vers la connexion de ses véhicules. Récupérer toujours plus de données pour proposer des services est tentant, mais cela augmente considérablement la surface d'attaque et les conséquences d'une fuite. Voici quelques principes à suivre :
- Collecter uniquement les données essentielles et pertinentes
- Chiffrer et anonymiser systématiquement ces informations
- Segmenter les accès et implémenter une architecture « zero trust »
- Auditer régulièrement la sécurité et réaliser des tests d'intrusion
- Être transparent avec les clients sur l'usage des données
Les constructeurs automobiles ont une grande responsabilité car les véhicules connectés sont amenés à transporter toujours plus de données personnelles et sensibles de leurs occupants. Une faille comme celle ayant touché Volkswagen pourrait avoir des conséquences désastreuses si elle était exploitée par des cybercriminels, voire des États mal intentionnés. Il est urgent de muscler la cybersécurité des logiciels embarqués et des infrastructures cloud des acteurs de la mobilité connectée.
Espérons que le "Volkswagen Gate" serve de piqûre de rappel salutaire à toute l'industrie pour renforcer dès maintenant la protection des données des voitures connectées. Les régulateurs devraient également s'emparer du sujet pour fixer des standards de sécurité élevés et obligatoires, car l'avenir de la mobilité en dépend.
