D’anciens systèmes d’infos-loisirs de Tesla contiennent encore et toujours des données que les utilisateurs précédents ont stockées non cryptées. Quiconque achète ce genre de système en seconde main, a ainsi accès à des adresses, réseaux wifi, comptes Spotify et autres.
Deux choses font d’anciens modèles Tesla de potentielles sources d’importantes fuites de données confidentielles: ces données ne sont en effet pas effacées lors d’un remplacement par les collaborateurs du Tesla Service Center, et les systèmes contenant les données en question sont donc revendus sans autorisation.
L’avertissement a été émis par un pirate actif sous le nom d’utilisateur Greentheonly. Il a partagé ses observations avec InsideEVs.com. A l’entendre, il a acheté d’anciens systèmes d’infos-loisirs de Tesla via internet.
Dans ces systèmes, il a pu mettre la main sur toutes sortes d’informations des précédents propriétaires. Tel est le cas de localisations que des utilisateurs y ont stockées, mais aussi d’informations de téléphones y associés, comme des rendez-vous à l’agenda des utilisateurs. Des mots de passe et des jetons d’accès à des applis extérieures y sont également stockés en texte brut. Il est alors facile de prendre le contrôle de comptes de Netflix et de Spotify.
Les quatre systèmes d’infos-loisirs achetés par le pirate proviennent des Model 3S et Model X de Tesla. Il s’agissait dans tous les cas de systèmes ne fonctionnant plus, mais le pirate a néanmoins réussi à en soutirer des données.
Tesla en a été informée par Green The Only. L’entreprise n’aurait cependant pas pris la peine d’attirer l’attention de ses clients sur la fuite de données et n’aurait pas non plus prévu un délai pour trouver une solution au problème. Le pirate a par conséquent transmis ses renseignements à InsideEVs.com, qui y a consacré un article.
Les techniciens de Tesla n’effacent pas les données
Mais le fait que les anciens systèmes d’infos-loisirs aboutissent ensuite sur le marché d’occasion, serait aussi dû à une erreur commise par des collaborateurs d’un Tesla Service Center. Nombre de ces anciens systèmes sont remplacés, parce qu’ils tombent en panne au bout de 4-5 ans, et d’autres parce que leur propriétaire souhaite disposer de nouvelles fonctions.
InsideEVs a mené l’enquête auprès de quelques Tesla Centers et a appris que les systèmes sont en principe remplacés par eux et que les techniciens ont pour mission de les endommager avant de les jeter au rebut. Le site envisage dès lors deux scénarios: soit les techniciens n’endommagent pas suffisamment les appareils que pour détruire les données y contenues, soit ces appareils sont prélevés des déchets par d’autres personnes ou par certains techniciens souhaitant les revendre en ligne.
Lorsqu’une voiture Tesla arrive au service réparations avec un système d’infos-loisirs en panne, ce dernier n’est donc pas effacé et n’est pas suffisamment rendu inutilisable. Le fait que des données personnelles, comme des mots de passe de certains comptes, s’y retrouvent en texte brut et donc non cryptées, rend ce genre de système d’infos-loisirs un bon outil pour collecter les données d’un ex-propriétaire d’une Tesla.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici