Au cours de la dernière décennie, l'industrie automobile a ajouté la connectivité internet à de nombreuses nouvelles voitures. Cette connexion est utilisée par les constructeurs automobiles pour fournir des mises à jour logicielles, collecter des données de diagnostic et suivre les déplacements du véhicule. Toutefois, les voitures connectées stockent tellement de données qu'elles pourraient tout aussi bien être des dispositifs de surveillance roulants. Une enquête sénatoriale avait affirmé que cette situation pourrait constituer une menace sérieuse pour la vie privée des Américains.Récemment, des chercheurs ont révélé une nouvelle faille de sécurité qui leur a permis d'accéder à des données sensibles par l'intermédiaire de la technologie Starlink de Subaru. Bien que Subaru ait corrigé le problème rapidement, l'incident soulève des questions gênantes sur le degré de confidentialité de vos données privées à l'ère des véhicules connectés.Sam Curry, un chercheur en sécurité, et son équipe ont découvert la faille en novembre 2024 alors qu'ils testaient la Subaru Impreza 2023 de sa mère, qu'il avait achetée pour elle. La faille leur a permis d'accéder à l'historique complet de la localisation du véhicule, non pas pour un seul instant, mais pour toute l'année. Sam Curry a déclaré que les informations étaient si détaillées qu'il pouvait localiser les visites chez le médecin de sa mère, les domiciles de ses amis et même la place de parking exacte qu'elle utilisait chaque fois qu'elle se rendait à l'église.", a déclaré Sam Curry. "Mais il y a pire, bien pire. Sam Curry et son collègue Shubham Shah ont déclaré avoir découvert des faiblesses dans un site web Subaru conçu pour le personnel d'une entreprise, ce qui leur a permis de s'emparer du compte d'un employé. Ils ont ainsi pu prendre le contrôle des fonctions Starlink des véhicules et accéder à une foule de données personnelles, notamment le nom du client, ses contacts en cas d'urgence, son adresse personnelle et même le code PIN du véhicule. Ils ne s'arrêtaient pas là, puisqu'ils pouvaient également déverrouiller la voiture à distance, la démarrer et consulter son historique d'appels. Oui, c'était aussi grave que cela.Les pirates n'ont pas eu besoin d'un superordinateur ou d'un gadget de science-fiction pour y parvenir. Tout ce dont ils avaient besoin, c'était du nom de famille de la victime, de la plaque d'immatriculation de la voiture, du code postal du propriétaire, de son numéro de téléphone ou de son adresse électronique. Les pirates introduisaient ces informations sur un site web conçu pour les employés de Subaru afin d'aider les utilisateurs de Starlink. Ils ont accédé à ce site par une série d'actions basées sur des failles de sécurité théoriques, puis confirmées, dans le site lui-même.À la décharge de Subaru, cette vulnérabilité n'existe plus. De plus, le constructeur automobile a corrigé le problème moins de 24 heures après avoir pris connaissance de la situation. Les pirates informatiques disent avoir alerté Subaru du problème à 23h54 le 20 novembre. Le 21 novembre à 16 heures, la vulnérabilité était corrigée et le piratage ne fonctionnait plus.En même temps, tout cela soulève un point plus important, à savoir que les données privées ne semblent plus être privées. Comme le souligne Sam Curry sur son site web, même en l'absence d'acteurs malveillants, de nombreuses personnes ont encore accès à ces données, à savoir les employés.", écrit Sam Curry. "Robert Herrell, directeur exécutif de la Consumer Federation of California, a fait part des mêmes préoccupations : "".Et Subaru n'est pas le seul concerné, car ce type de vulnérabilité et d'accès aux données est probablement un problème qui touche l'ensemble de l'industrie. Pour l'instant, il n'y a pas de solution claire, si ce n'est de refuser complètement la collecte de données lors de l'achat d'une voiture connectée. Bien sûr, vous perdrez certaines fonctionnalités, mais cela peut valoir la peine d'empêcher les regards indiscrets de pénétrer dans votre entreprise.Outre les failles de sécurité, la vie privée des conducteurs est également menacée par une pratique des constructeurs automobiles. Un rapport a révélé que ces derniers partagent les données de conduite des conducteurs avec les compagnies d'assurance sans leur consentement explicite. Ces informations comprennent les cas d'excès de vitesse, de freinage brusque ou d'accélération rapide au cours de chaque trajet. Elles sont ensuite utilisées pour générer des profils de risque pour les assureurs. Cette pratique aurait entraîné des changements significatifs dans les primes d'assurance de certains conducteurs. Ces derniers dénoncent une nouvelle forme de surveillance et une invasion dans leur vie privée, avec des impacts négatifs.Pensez-vous que ce rapport de Sam Curry est crédible ou pertinent ?Quel est votre avis sur le sujet ?