Le 3 mai, notre rédaction américaine d'InsideEVs.com dévoile une fuite de données chez Tesla. Elle n'a pas été causée par une cyber-attaque, mais plutôt par la façon dont Tesla s'est débarrassé des ordinateurs remplacés dans ses propres voitures.

Le 14 mai, un client de Tesla explique que l'entreprise accusait un camion volé d'être responsable des ordinateurs trouvés en vente sur eBay. Tesla a été questionné sur où et quand le camion avait disparu, mais la société n'a pas répondu. Après quelques semaines, certains clients européens trouvent également des données provenant de leurs ordinateurs remplacés en vente sur Internet.

GreenTheOnly, le hacker qui raconte cette histoire pour la première fois, a découvert que des ICE et MCU d'occasion étaient également en vente en Europe (voir notre glossaire des termes informatiques Tesla ci-dessous). Ces ordinateurs étaient en vente sur des sites web pour 80 €. Il explique en avoir acheté "une pile". Et il a découvert que les clients concernés ne sont pas seulement Nord-Américains, mais répartis à travers la planète.

Quelques témoignages

InsideEVs.com a réussi à contacter cinq personnes dont les données personnelles ont été trouvées sur ces ordinateurs Tesla remplacés. Ils sont Autrichiens, Belges, Néerlandais ou encore Britanniques et ils ont fait remplacer des pièces par le service Tesla.

Glossaire des termes techniques des ordinateurs de bord de Tesla  
MCU (Media Control Unit) Ordinateur qui contrôle l'infotainment et stocke les données personnelles
MCUv1 Utilisé sur les Model S et X jusqu'en mars 2018
MCU v2 Utilisé sur les Model S et X après mars 2018
HW Ordinateur qui contrôle l'Autopilot et la conduite autonome
ICE Intégration des ordinateurs MCU et HW dans les Model 3 et Y

Selon eux, Tesla n'a pas pris contact pour les avertir de la fuite de données. La plupart d'entre eux ont décidé de rester anonymes, à l'exception de Daniel DiBattista, le propriétaire d'une Tesla Model 3 Long Range AWD. Sa voiture a eu un problème avec sa radio au début de l'année. Son ICE a été remplacé le 13 février 2020.

“Ma radio FM ne fonctionnait plus, alors Tesla a remplacé tout l'ordinateur - une solution stupide parce que le module FM est une petite pièce à l'arrière de la voiture. Au bout de trois semaines, ils l'ont quand même remplacé.

DiBattista veut maintenant parler avec Tesla de cette question. Il a dit qu'il contacterait Tesla pour régler la situation, mais il estime mériter une compensation pour avoir dû supprimer des mots de passe, avertir les personnes de sa liste de contacts du problème et, surtout, pour avoir exposé toutes ces données privées.

DiBattista a acheté sa voiture grâce de son fils, qui possède également une Tesla Model S. Ce dernier a récemment eu le problème de MCU, mais il n'a pas remplacé l'ordinateur. Puisqu'il connaissait des professionnels qui pouvait changer la carte EMMC défectueuse. Une sacrée chance.

Vous attendez une remise à niveau Tesla HW ou MCU ? Soyez prudent avec vos données

Autre histoire avec un client belge qui a demandé d'être nommé "RM". Au début, l'ordinateur semblait indiquer un autre propriétaire, "JG", mais cette personne vit en France. Après l'avoir contacté, il a dit qu'il n'avait jamais possédé de Tesla, mais que son beau-frère en avait une. Et le beau-frère n'était autre que RM. Cela prouve que la fuite de données n'expose pas seulement le propriétaire de la voiture, mais aussi ceux qui figurent sur la liste de contacts, y compris leurs familles.

“Je confirme que mon unité centrale Tesla a été changée à la fin de l'année dernière à Zaventem, explique RM. C'est effrayant... Tesla ne nous a rien dit. Je vais les contacter. Le fait est que je ne sais même pas à qui parler chez Tesla. C'est une voiture de société que j'ai louée. Je ne sais pas si la branche belge a été informée de la situation, en tout cas nous avons changé tous nos mots de passe. J'aimerais que Tesla reconnaisse et réagisse de manière appropriée et ne se contente pas d'ignorer les choses.

Le dernier client européen auquel nous avons parlé jusqu'à présent est JW, du Royaume-Uni.

“C'est un peu alarmant, pour être honnête. Au début, je pensais que votre prise de contact était une tentative e-mail de phishing, mais je suis allé me renseigné et j'ai lu les articles que vous avez écrits (articles rédigés par la rédaction américaine d'InsideEVs, ndlr).”

JW a fait remplacer son ordinateur le 23 janvier 2020 au centre Tesla d'Heathrow. Il n'utilisait pas d'applications dans sa voiture, mais il avait des mots de passe wifi dans son ancien ordinateur.

“Je pensais que l'ancien ordinateur était renvoyé aux Pays-Bas ou aux États-Unis pour y être soumis à un nouveau diagnostic ou pour être remis à neuf. J'ai demandé si je pouvais l'avoir, mais j'ai pensé qu'il était peu probable qu'ils me le donnent. Tesla ne m'a pas du tout contacté pour m'avertir que mon vieil ordinateur était "perdu"."

La réaction de Tesla ?

Peu après la publication du premier article, vers la mi-mai, Tesla a publié la mise à jour 2020.16.2.1. Entre autres choses, elle crypte les données personnelles sur les ordinateurs Tesla, mais pas dans tous les cas, selon notre ami pirate informatique M. Green.

“Certaines voitures sont maintenant cryptées. Je ne sais pas combien, mais la mienne ne l'est toujours pas. Il y a eu de nombreux tweets concernant des personnes ayant vu l'écran "cryptage en cours", mais ma voiture ne semble pas avoir déclenché cette mise à niveau de la sécurité.

Pour les voitures disposant de cette évolution, comment fonctionne le cryptage ? Est-ce suffisant ?

“Le cryptage n'est pas parfait, mais il est suffisamment décent pour que la plupart des gens ne puissent pas le casser facilement. De plus, je pense qu'il permet un effacement complet des données personnelles en cas de réinitialisation par l'usine maintenant - mais je n'ai pas encore vérifié cette théorie.

Qu'est-ce qui fait fonctionner le cryptage ? Nous le demanderions bien à Tesla, mais nous attendons toujours que la société réponde aux nombreuses questions que nous avons déjà posées et dont nous attendons les réponses, notamment en ce qui concerne les personnes qui ont effectué des mises à niveau informatiques avant la mise à jour.

Nous sommes en contact avec les propriétaires que nous avons contactés depuis le premier article en mai. Parmi les sources, un des clients concernés a reçu ce message électronique de Tesla :

"Nous vous écrivons pour vous informer d'un incident isolé qui pourrait affecter les informations personnelles d'un petit nombre de clients, dont vous faites partie. Bien que nous n'ayons pas connaissance d'une utilisation abusive de vos données, nous vous adressons cet avis pour que vous soyez informé de ce qui s'est passé, des mesures que nous avons prises et de certaines recommandations que vous pourriez faire pour mieux vous protéger contre une éventuelle utilisation abusive de vos informations personnelles, si vous le jugez opportun.

Ce qui s'est passé

Les ordinateurs de voiture Tesla sont retirés et remplacés pour les clients qui passent à l'auto-conduite intégrale. Le 16 avril 2020, Tesla a constaté qu'un petit nombre d'ordinateurs de voiture avaient été retirés de ses installations sans autorisation. Nous avons immédiatement pris des mesures pour sécuriser les lieux où ces ordinateurs sont stockés et avons rapidement entamé une enquête sur la question.

Nous avons déterminé que cette action non autorisée avait eu lieu avant que les unités informatiques ne puissent être soumises à la procédure standard de Tesla pour une réhabilitation ou une destruction sécurisée, exposant par inadvertance certaines informations personnelles à un tiers non autorisé. Nous n'avons aucune preuve que vos informations ont été utilisées ou divulguées ultérieurement. Veuillez noter que ces informations se limitent à celles contenues dans l'ordinateur de la voiture et qu'elles n'affectent aucun autre système d'information.

Quelles informations ont été utilisées

Nous avons procédé à un examen complet des informations personnelles contenues dans l'unité informatique de la voiture. Les types d'informations personnelles susceptibles d'avoir été affectées comprennent : votre prénom et votre nom, les détails de connexion à l'application de tiers pour les véhicules (nom d'utilisateur et mot de passe), les détails des événements du calendrier synchronisé, les contacts téléphoniques, l'historique du navigateur web, les adresses enregistrées sur des cartes, l'historique de navigation et l'historique du lecteur multimédia. Aucune information sur les finances ou les paiements des clients n'a été enregistrée.

Ce que nous faisons

La confidentialité, le respect de la vie privée et la sécurité des informations personnelles sont une priorité absolue. Dès que nous avons découvert cet incident isolé, nous avons pris les mesures mentionnées ci-dessus, et aucune autre unité informatique n'a été touchée à notre connaissance. Nous avons informé les forces de l'ordre qui s'efforcent d'obtenir le retour des unités à Tesla pour une élimination appropriée. En outre, nous avons également amélioré la procédure de reconditionnement et d'élimination des unités informatiques remplacées afin d'éviter toute activité similaire.

Ce que vous pouvez faire

Bien que nous n'ayons aucune preuve que vos informations personnelles ont été utilisées de manière abusive, pour votre protection et avec beaucoup de prudence, nous avons réinitialisé votre compte Tesla, et nous vous encourageons à changer votre mot de passe pour tout autre compte sur lequel vous avez utilisé le même mot de passe ou un mot de passe similaire pour toute application de véhicule comme Google, Spotify, Slacker, Netflix, etc. En outre, soyez prudent face à toute communication non sollicitée qui vous demande ou vous renvoie à un site web demandant vos informations personnelles.

Cordialement,

Bureau de protection des données Tesla".

Nous ne savons pas combien de personnes ont reçu ce message ni quand il a été envoyé. Si vous faites partie des clients contactés, n'hésitez pas à nous contacter via e-mail, Facebook ou Instagram. Nous voulons également savoir ce que signifie "un petit nombre de clients". Pour information, notre hacker continue de trouver des annonces de pièces volées.

Conseil européen de la protection des données

Comme certaines des personnes ont déclaré qu'elles prenaient contact avec les autorités pour signaler la fuite de données. La rédaction s'est mise en relation avec le Conseil européen de la protection des données pour voir s'il était chargé de prendre des mesures :

“L'application de la législation incombe aux autorités nationales de contrôle. Les personnes concernées de l'Union européenne qui craignent que leurs droits en matière de protection des données n'aient été violés peuvent déposer une plainte auprès de leur autorité de contrôle nationale, qui peut enquêter sur la question.

Vous attendez une rétrofit Tesla HW ou MCU ? Soyez prudent avec vos données

Cela dit, si vous avez effectué une mise à niveau informatique en Europe, vous savez déjà qui contacter en dehors de Tesla pour obtenir des éclaircissements à ce sujet. Modifiez les mots de passe que vous utilisez dans votre Tesla, avertissez les personnes de votre liste de contacts de la fuite et soyez attentifs aux activités inhabituelles avec vos données.