Fuite de données massive chez les constructeurs automobiles

Toyota Japon découvre que les données personnelles de plusieurs millions de ses clients avaient été exposées sur Internet pendant dix ans à cause d’une « mauvaise configuration du cloud ».

Ahhh, le cloud ! Ce petit nuage vraiment pratique qui permet de stocker des données, accessibles partout, à tout moment et rapidement ! Le constructeur automobile Toyota vient de découvrir qu’un nuage, ça pouvait devenir terriblement gris, terriblement dangereux.

Toyota Japon s’est excusée après avoir admis avoir laissé les détails des véhicules de millions de clients sur Internet pendant une décennie. Le constructeur automobile a également déclaré qu’il informerait les 2,15 millions de clients concernés dont les informations personnelles ont été divulguées en ligne. Ces données personnelles comprennent les adresses électroniques (risque de phishing, de publicités non sollicitées, porte d’entrée à des codes malveillant de type stealer), les numéros de châssis (voiture volée avec numéro de châssis existant et non répertorié comme volé), et de terminal de navigation (uniques à chaque véhicule avec GPS, contact téléphone en cas d’appareillage, Etc.), et cerise sur le gâteau, les vidéos enregistrées à partir du dispositif d’enregistrement de conduite du véhicule. Les nouvelles voitures, avec caméra, enregistrent aléatoirement (ou à la demande des conducteurs) des « bouts » d’images qu’il est possible de retrouver dans l’ordinateur de bord.

La fuite de données concerne uniquement les véhicules Toyota vendus au Japon et les propriétaires de modèles Lexus qui se sont abonnés au service G-Link. Toyota a annoncé la mise en place imminente d’un système de surveillance de ses serveurs cloud. Ah bon, cela n’existait pas ?

Ce n’est pas la première fois que Toyota est confrontée à des problèmes de cybersécurité. Il y a à peine un an, l’entreprise a reconnu avoir exposé près de 300 000 adresses e-mail de clients pendant près de cinq ans, après qu’un sous-traitant ait accidentellement téléchargé le code source du logiciel interne de l’entreprise.

Votre voiture, une espionne qui se fait vite oublier

Clé intelligente, ordinateur de bord, GPS, etc. La voiture moderne est devenue un condensé de dispositifs de suivi en tous genres. Avril 2023, neuf anciens employés de Tesla, avaient avoué « jouer » avec des images et des vidéos capturées par les caméras des véhicules.

Certains employés se partageaient, sans le consentement des clients, les vidéos enregistrées par les voitures (et stockées dans un espace nuagique dédié) via le système de messagerie interne de l’entreprise.

Ces allégations soulevaient déjà des inquiétudes sur la protection de la vie privée des conducteurs et des passagers, malgré l’assurance de Tesla quant à la valeur qu’elle accorde à la confidentialité de ses clients. Ces partages indésirables se seraient produits entre 2019 et 2022. Si à cela vous rajoutait les nouvelles révélations liées à Toyota, nous voilà avec de super espionnes à quatre roues sur nos trottoirs.

Sans parler de la fuite ayant impacté des dizaines de milliers de clients Hyundai, en avril 2023, et qui laisse de nombreuses questions en suspend :

1 – l’adresse électronique mise à disposition par le constructeur avait 1 mois pour répondre à des questions liées au RGPD : aucune réponse.

2 – des internautes lecteurs de ZATAZ, qui n’ont jamais été clients Hyundai, ont reçu des courriels d’alertes liés à la fuite.