À la fin de l'année 2024, les chercheurs ont découvert une grave faille de sécurité dans le système Starlink de Subaru. Cette faille permettait d'accéder à des données privées telles que la localisation, les contacts d'urgence, l'historique des appels, etc. La faille aurait pu permettre à des pirates de déverrouiller des voitures et de suivre des millions de conducteurs. Subaru a corrigé la faille dans les 24 heures, mais n'a pas résolu les problèmes plus généraux liés à la protection de la vie privée.Au cours de la dernière décennie, l'industrie automobile a ajouté la connectivité internet à de nombreuses nouvelles voitures. Cette connexion est utilisée par les constructeurs automobiles pour fournir des mises à jour logicielles, collecter des données de diagnostic et suivre les déplacements du véhicule. Toutefois, les voitures connectées stockent tellement de données qu'elles pourraient tout aussi bien être des dispositifs de surveillance roulants. Une enquête sénatoriale avait affirmé que cette situation pourrait constituer une menace sérieuse pour la vie privée des Américains.
Récemment, des chercheurs ont révélé une nouvelle faille de sécurité qui leur a permis d'accéder à des données sensibles par l'intermédiaire de la technologie Starlink de Subaru. Bien que Subaru ait corrigé le problème rapidement, l'incident soulève des questions gênantes sur le degré de confidentialité de vos données privées à l'ère des véhicules connectés.
Sam Curry, un chercheur en sécurité, et son équipe ont découvert la faille en novembre 2024 alors qu'ils testaient la Subaru Impreza 2023 de sa mère, qu'il avait achetée pour elle. La faille leur a permis d'accéder à l'historique complet de la localisation du véhicule, non pas pour un seul instant, mais pour toute l'année. Sam Curry a déclaré que les informations étaient si détaillées qu'il pouvait localiser les visites chez le médecin de sa mère, les domiciles de ses amis et même la place de parking exacte qu'elle utilisait chaque fois qu'elle se rendait à l'église.
"Vous pouvez récupérer au moins un an d'historique de localisation de la voiture, où elle est enregistrée précisément, parfois plusieurs fois par jour", a déclaré Sam Curry. "Que quelqu'un trompe sa femme, se fasse avorter ou fasse partie d'un groupe politique, il existe un million de scénarios dans lesquels vous pouvez utiliser cette arme contre quelqu'un."
Mais il y a pire, bien pire. Sam Curry et son collègue Shubham Shah ont déclaré avoir découvert des faiblesses dans un site web Subaru conçu pour le personnel d'une entreprise, ce qui leur a permis de s'emparer du compte d'un employé. Ils ont ainsi pu prendre le contrôle des fonctions Starlink des véhicules et accéder à une foule de données personnelles, notamment le nom du client, ses contacts en cas d'urgence, son adresse personnelle et même le code PIN du véhicule. Ils ne s'arrêtaient pas là, puisqu'ils pouvaient également déverrouiller la voiture à distance, la démarrer et consulter son historique d'appels. Oui, c'était aussi grave que cela.
Les pirates n'ont pas eu besoin d'un superordinateur ou d'un gadget de science-fiction pour y parvenir. Tout ce dont ils avaient besoin, c'était du nom de famille de la victime, de la plaque d'immatriculation de la voiture, du code postal du propriétaire, de son numéro de téléphone ou de son adresse électronique. Les pirates introduisaient ces informations sur un site web conçu pour les employés de Subaru afin d'aider les utilisateurs de Starlink. Ils ont accédé à ce site par une série d'actions basées sur des failles de sécurité théoriques, puis confirmées, dans le site lui-même.
À la décharge de Subaru, cette vulnérabilité n'existe plus. De plus, le constructeur automobile a corrigé le problème moins de 24 heures après avoir pris connaissance de la situation. Les pirates informatiques disent avoir alerté Subaru du problème à 23h54 le 20 novembre. Le 21 novembre à 16 heures, la vulnérabilité était corrigée et le piratage ne fonctionnait plus.
En même temps, tout cela soulève un point plus important, à savoir que les données privées ne semblent plus être privées. Comme le souligne Sam Curry sur son site web, même en l'absence d'acteurs malveillants, de nombreuses personnes ont encore accès à ces données, à savoir les employés.
"L'industrie automobile est unique en ce sens qu'un employé texan de 18 ans peut interroger les informations de facturation d'un véhicule en Californie sans que cela ne déclenche de sonnette d'alarme", écrit Sam Curry. "Cela fait partie de leur travail quotidien normal. Les employés ont tous accès à un grand nombre d'informations personnelles et tout repose sur la confiance."
Robert Herrell, directeur exécutif de la Consumer Federation of California, a fait part des mêmes préoccupations : "Il semble qu'un certain nombre d'employés de Subaru disposent d'une quantité effrayante d'informations détaillées. Les gens sont suivis à la trace d'une manière dont ils n'ont aucune idée".
Et Subaru n'est pas le seul concerné, car ce type de vulnérabilité et d'accès aux données est probablement un problème qui touche l'ensemble de l'industrie. Pour l'instant, il n'y a pas de solution claire, si ce n'est de refuser complètement la collecte de données lors de l'achat d'une voiture connectée. Bien sûr, vous perdrez certaines fonctionnalités, mais cela peut valoir la peine d'empêcher les regards indiscrets de pénétrer dans votre entreprise.
Outre les failles de sécurité, la vie privée des conducteurs est également menacée par une pratique des constructeurs automobiles. Un rapport a révélé que ces derniers partagent les données de conduite des conducteurs avec les compagnies d'assurance sans leur consentement explicite. Ces informations comprennent les cas d'excès de vitesse, de freinage brusque ou d'accélération rapide au cours de chaque trajet. Elles sont ensuite utilisées pour générer des profils de risque pour les assureurs. Cette pratique aurait entraîné des changements significatifs dans les primes d'assurance de certains conducteurs. Ces derniers dénoncent une nouvelle forme de surveillance et une invasion dans leur vie privée, avec des impacts négatifs.
Source : Rapport de Sam Curry
Et vous ?
Pensez-vous que ce rapport de Sam Curry est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Vulnérabilités critiques chez Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar et Land Rover, ainsi que la société de gestion de flotte Spireon Les voitures connectées, un danger pour la vie privée selon une étude de Mozilla sur 25 marques de voitures : Activité sexuelle, poids, les données sensibles sont collectées et partagées Des failles critiques dans un traceur GPS permettent des piratages "désastreux" et menacent la vie des utilisateurs, les pirates peuvent suivre ou désactiver à distance les voitures en mouvement