Fuite de données massive chez les constructeurs automobiles

Posted On 16 Mai 2023

Tag: caméra, car, espionnage, spy, voiture

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

Toyota Japon découvre que les données personnelles de plusieurs millions de ses clients avaient été exposées sur Internet pendant dix ans à cause d’une « mauvaise configuration du cloud ».

Ahhh, le cloud ! Ce petit nuage vraiment pratique qui permet de stocker des données, accessibles partout, à tout moment et rapidement ! Le constructeur automobile Toyota vient de découvrir qu’un nuage, ça pouvait devenir terriblement gris, terriblement dangereux.

Toyota Japon s’est excusée après avoir admis avoir laissé les détails des véhicules de millions de clients sur Internet pendant une décennie. Le constructeur automobile a également déclaré qu’il informerait les 2,15 millions de clients concernés dont les informations personnelles ont été divulguées en ligne. Ces données personnelles comprennent les adresses électroniques (risque de phishing, de publicités non sollicitées, porte d’entrée à des codes malveillant de type stealer), les numéros de châssis (voiture volée avec numéro de châssis existant et non répertorié comme volé), et de terminal de navigation (uniques à chaque véhicule avec GPS, contact téléphone en cas d’appareillage, Etc.), et cerise sur le gâteau, les vidéos enregistrées à partir du dispositif d’enregistrement de conduite du véhicule. Les nouvelles voitures, avec caméra, enregistrent aléatoirement (ou à la demande des conducteurs) des « bouts » d’images qu’il est possible de retrouver dans l’ordinateur de bord.

La fuite de données concerne uniquement les véhicules Toyota vendus au Japon et les propriétaires de modèles Lexus qui se sont abonnés au service G-Link. Toyota a annoncé la mise en place imminente d’un système de surveillance de ses serveurs cloud. Ah bon, cela n’existait pas ?

Ce n’est pas la première fois que Toyota est confrontée à des problèmes de cybersécurité. Il y a à peine un an, l’entreprise a reconnu avoir exposé près de 300 000 adresses e-mail de clients pendant près de cinq ans, après qu’un sous-traitant ait accidentellement téléchargé le code source du logiciel interne de l’entreprise.

Votre voiture, une espionne qui se fait vite oublier

Clé intelligente, ordinateur de bord, GPS, etc. La voiture moderne est devenue un condensé de dispositifs de suivi en tous genres. Avril 2023, neuf anciens employés de Tesla, avaient avoué « jouer » avec des images et des vidéos capturées par les caméras des véhicules.

Certains employés se partageaient, sans le consentement des clients, les vidéos enregistrées par les voitures (et stockées dans un espace nuagique dédié) via le système de messagerie interne de l’entreprise.

Ces allégations soulevaient déjà des inquiétudes sur la protection de la vie privée des conducteurs et des passagers, malgré l’assurance de Tesla quant à la valeur qu’elle accorde à la confidentialité de ses clients. Ces partages indésirables se seraient produits entre 2019 et 2022. Si à cela vous rajoutait les nouvelles révélations liées à Toyota, nous voilà avec de super espionnes à quatre roues sur nos trottoirs.

Sans parler de la fuite ayant impacté des dizaines de milliers de clients Hyundai, en avril 2023, et qui laisse de nombreuses questions en suspend :

1 – l’adresse électronique mise à disposition par le constructeur avait 1 mois pour répondre à des questions liées au RGPD : aucune réponse.

2 – des internautes lecteurs de ZATAZ, qui n’ont jamais été clients Hyundai, ont reçu des courriels d’alertes liés à la fuite.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.