LA VALEUR – Numéro 12: Ça vous plairait d’acheter un téléphone intelligent déverrouillé contenant des données personnelles? – Par Brian Murphy

Bienvenue au Canadian Black Book – La valeur. Notre objectif est de fournir à nos clients et à nos partenaires des nouvelles, une mise à jour des événements, de nouvelles initiatives et l’opinion de la source de confiance du Canada pour les valeurs des véhicules et les perspectives automobiles. Vous trouverez ce qui suit dans ce numéro :

____________________________________________________________________________
Tout récemment, j’ai eu l’occasion de voir une présentation d’Andrea Amico, défenseur de la protection de la vie privée et de la cybersécurité, qui se spécialise dans la sécurité de l’information (infosec) du domaine automobile. La présentation m’a vraiment frappé, Andrea est un excellent orateur et un expert enthousiaste dans le domaine, mais là n’est pas la raison de son impact. Pour moi, sa présentation représentait la pointe de l’iceberg d’un sujet qui n’est pas en tête de liste des préoccupations des consommateurs ou des professionnels de la vente et du remarketing automobile.

Photo by ARAS Imaging (www.arasimaging.com)

J’espère que cet article aidera à informer sur ce que je considère une question susceptible de gagner en importance d’ici quelques années : l’infosec pour les véhicules. Votre voiture est un objet très personnel. C’est une compagne fidèle qui navigue avec vous chaque jour à travers le monde. Par conséquent, les voitures en savent beaucoup sur les gens qui les conduisent. Si vous avez déjà branché votre appareil mobile à votre véhicule via Bluetooth (une obligation légale dans de nombreux pays), votre voiture peut connaître les adresses des endroits que vous avez visités, les numéros de téléphone que vous avez composés, les textos que vous avez reçus, votre lieu de résidence et votre code de porte de garage.

Alarmant? Ça devrait l’être. C’est beaucoup de données personnelles qui peuvent être transmises librement à la prochaine personne qui devient propriétaire de cette voiture. Aujourd’hui, dans bien des cas, c’est exactement ce qui se passe. Les systèmes d’infodivertissement des voitures modernes sont comme les téléphones intelligents, mais lorsqu’il s’agit de changer de mains, ils ne sont souvent pas traités de la même façon.

Toutes ces données potentiellement sensibles existent à l’intérieur des systèmes d’infodivertissement et y restent souvent, à moins que quelqu’un ne fasse un effort pour activement les supprimer avant de changer de propriétaire. Si vous vous apprêtiez à vendre un vieux téléphone intelligent ou à le recycler en l’offrant en cadeau à un membre de votre famille, vous ne le feriez sans doute pas avant d’effacer toute donnée personnelle du téléphone ou de le réinitialiser avant de le donner à une autre personne.

Faites-vous la même chose lorsque vous vendez votre voiture? M. Amico sait très bien que beaucoup d’entre nous n’y pensent même pas! « Les véhicules sont les plus gros appareils IoT dont la plupart des consommateurs seront propriétaires, et malgré cela, la plupart ignorent encore qu’une fois qu’ils branchent leur téléphone intelligent au système d’infodivertissement du véhicule, ils peuvent partager, avec le véhicule et peut-être même avec tous ses futurs propriétaires leurs données personnelles qu’ils s’efforcent si bien d’effacer avant de retourner un vieux téléphone intelligent au magasin.»

Certains, plus technophiles, peuvent penser que oui, l’information est là, mais qu’elle n’est accessible que lorsque le téléphone est branché, ce qui n’est donc pas vraiment un problème. En réalité, c’est tout à fait faux. Dans la présentation d’Andrea, il a abordé ce sujet cette année, alors qu’il faisait des recherches pour le développement de son application Privacy4Cars, il a découvert une vulnérabilité alarmante dans les protocoles Bluetooth adoptés par de nombreux systèmes d’infodivertissement. Le logiciel de piratage de véhicule CarsBlues, exploite les systèmes d’infodivertissement de plusieurs constructeurs automobiles par le biais de Bluetooth pour exposer les données personnelles saisies des utilisateurs antérieurs du véhicule.

L’attaque peut se faire en quelques minutes à l’aide de matériel et de logiciels peu coûteux et facilement disponibles et ne nécessite pas de connaissances techniques importantes. Les exemples qu’il a donnés au cours de sa présentation étaient assez inquiétants. M. Amico a montré une vidéo où, voiture après voiture, il pouvait contourner la sécurité Bluetooth et accéder à des contacts, des journaux d’appels, des journaux de texte et, dans certains cas, même des messages texte complets sans que le propriétaire ou l’utilisateur du véhicule s’en aperçoive. Tout cela a été fait sans que l’appareil mobile de l’utilisateur soit relié au système à l’aide de CarsBlues. Dans un cas, il a pu déterminer où le conducteur principal vivait et travaillait, qui il était, où ses enfants allaient à l’école et à leurs activités récréatives, et s’il recevait des traitements médicaux dans un établissement particulier. « Lorsqu’une personne laisse des données personnelles dans le système d’infodivertissement d’un véhicule, elle risque d’exposer des informations qui, une fois reconstituées, pourraient poser un risque important si elles tombaient entre les mains de la mauvaise personne.

Mon intention est que les professionnels de l’automobile qui lisent ces lignes puissent se demander si leur propre organisation a la responsabilité d’aider à protéger les consommateurs de la divulgation de renseignements personnels. Qui a la responsabilité de supprimer cette information? Devriez-vous « effacer » les voitures qui passent entre vos mains? Devriez-vous supprimer les données personnelles électroniques en tant qu’acheteur, en tant que vendeur, ou lorsque vous remettez une déclaration de fin de location ou un véhicule déclaré perte totale? Il y a dix ans, le commissaire à la protection de la vie privée du Canada avait déjà été très critique du fait que Bureau en gros (Staples) n’effaçait pas les données des clients des ordinateurs. Donc, à mon avis (je ne suis pas avocat), une omission semblable de ne pas effacer les données personnelles d’un client d’une voiture revendue pourrait donner lieu à une critique semblable de la part des organismes de réglementation.

Il y a des ressources pour vous aider avec le processus de suppression des données, ce qui le rend très facile. Bien sûr, le manuel du propriétaire de la plupart des véhicules peut vous indiquer comment débrancher les téléphones et réinitialiser les systèmes (bien que M.Amico a précisé que les instructions floues ou inexactes ne sont pas rares dans les manuels des véhicules). Si vous avez affaire à de gros volumes de véhicules et de nombreux modèles, il existe une application pour téléphones intelligents appelée Privacy4Cars, créée par M. Amico, qui vous guide dans le processus de suppression des données sensibles de centaines de marques/modèles.

L’application est gratuite pour les consommateurs, mais il y a des frais pour les entreprises. Songez à vous protéger contre l’utilisation abusive de vos données personnelles et protégez votre entreprise contre les conséquences juridiques possibles de ne pas offrir la même protection à vos clients. Vous trouverez de plus amples renseignements à ce sujet sur Privacy4cars.com.

Leave a Reply

Your email address will not be published. Required fields are marked *