Qu'est-ce que votre voiture sait sur vous ? On a piraté une Chevrolet pour le savoir (traduction)

Au volant, il n'y a que vous, la route - et votre voiture qui enregistre discrètement chacun de vos mouvements.

Lors d'un récent trajet, une Chevrolet 2017 a relevé ma position précise. Elle a enregistré le numéro d'identification de mon téléphone et les personnes que j'ai appelées. Elle a jugé mon accélération et mon freinage, et a transmis des rapports à son constructeur General Motors par le biais d'une connexion Internet permanente.

Les voitures sont devenues des ordinateurs très sophistiqués que beaucoup d'entre nous possèdent, remplis de centaines de capteurs. Même les vieux modèles en savent beaucoup sur vous. Beaucoup d'entre eux copient des données personnelles dès que vous branchez un smartphone.

Mais pour les quelques milliers de dollars que vous dépensez pour acheter une voiture, les données qu'elle produit ne vous appartiennent pas. Le tableau de bord de ma Chevy ne disait pas ce que la voiture pouvait enregistrer. Ce n'était pas dans le manuel du propriétaire. Il n'y avait aucun moyen les récupérer.

Pour voir les données de ma voiture, j'ai dû pirater mon système.

Nous sommes à un tournant pour la surveillance de la conduite : Dans l'année modèles 2020, la plupart des nouvelles voitures vendues aux États-Unis seront équipées de connexions Internet intégrées, y compris 100 % des Ford, GM et BMW et tous les modèles Toyota et Volkswagen sauf un. (Ce service cellulaire indépendant est souvent inclus gratuitement ou vendu comme un supplément). Les voitures deviennent des téléphones intelligents sur roues, envoyant et recevant des données des applications, des compagnies d'assurance et à peu près partout où leurs fabricants le souhaitent. Certaines marques se réservent même le droit d'utiliser les données pour vous retrouver si vous ne payez pas vos factures.

Lorsque j'achète une voiture, je présume que les données que je produis m'appartiennent - ou du moins sont sous mon contrôle. Ce n'est pas le cas de nombreux constructeurs automobiles. Ils agissent comme si la façon dont nous conduisons et l'endroit où nous allons, aussi connu sous le nom de télématique, n'était pas un renseignement personnel.


Les voitures roulent maintenant avec une nouvelle huile : vos données. C'est fondamental pour un avenir du transport où les véhicules se conduisent tout seuls et où nous sautons dans tout ce qui va dans cette direction. Les données ne sont pas l'ennemi. Les voitures connectées font déjà de bonnes choses, comme améliorer la sécurité et vous envoyer des alertes de service qui sont beaucoup plus utiles qu'un témoin de contrôle du moteur dans le tableau de bord.

Mais nous avons déjà connu ce chemin semé d'embûches avec les haut-parleurs intelligents, les téléviseurs intelligents, les téléphones intelligents et toutes les autres choses intelligentes dont nous nous rendons compte aujourd'hui qu'elles jouent rapidement et librement avec notre vie personnelle. Une fois que des informations sur notre vie sont partagées, vendues ou volées, nous perdons le contrôle.

Il n'existe pas de lois fédérales régissant ce que les constructeurs automobiles peuvent recueillir ou faire avec nos données de conduite. Et les constructeurs automobiles tardent à prendre des mesures pour nous protéger et à tracer des lignes dans le sable. La plupart cachent ce qu'ils recueillent et partagent derrière des politiques de confidentialité rédigées dans le genre de termes que seule la mère d'un avocat pourrait aimer.

Les données sur les voitures ont une vie secrète. Pour découvrir ce qu'une voiture sait sur moi, j'ai emprunté quelques techniques aux enquêteurs de scène de crime.

Ce que votre voiture sait

Jim Mason pirate les voitures pour gagner sa vie, mais généralement juste pour mieux comprendre les accidents et les vols. L'ingénieur formé par Caltech travaille à Oakland, en Californie, pour une entreprise appelée ARCCA qui aide à reconstituer les accidents. Il a accepté d'aider à faire une analyse médico-légale de ma vie privée.

J'ai choisi une Chevrolet comme sujet d'essai parce que son fabricant, GM, a eu le plus long passé de tous les constructeurs automobiles à comprendre la transparence des données. Il a commencé à relier les voitures à son service OnStar en 1996, d'abord pour appeler les secours d'urgence. Aujourd'hui, GM a plus de 11 millions de véhicules équipés de données 4G LTE sur la route, incluant le service de base gratuit et les extras que vous payez. J'ai trouvé un bénévole, Doug, qui nous a permis de jeter un coup d'œil à l'intérieur de sa Chevy Volt de deux ans.

J'ai rencontré Mason dans un entrepôt vide, où il a commencé par m'expliquer une partie importante de l'anatomie d'une voiture. Les véhicules modernes n'ont pas seulement un ordinateur. Il y a de multiples cerveaux interconnectés qui peuvent générer jusqu'à 25 gigaoctets de données par heure à partir de capteurs répartis dans toute la voiture. Même avec l'équipement de Mason, nous ne pouvons accéder qu'à certains de ces systèmes.

Ce type de piratage n'est pas un risque de sécurité pour la plupart d'entre nous - il nécessite des heures d'accès physique à un véhicule. Mason a apporté un ordinateur portable, un logiciel spécial, une boîte de circuits imprimés et des douzaines de prises et de tournevis.

Nous nous sommes concentrés sur l'ordinateur avec les données les plus accessibles : le système d'info-divertissement. On pourrait penser qu'il s'agit des commandes audio à écran tactile de la voiture, mais de nombreux systèmes interagissent avec lui, de la navigation au téléphone intelligent synchronisé. Le seul problème ? Cet ordinateur est enfoui sous le tableau de bord.

Après une heure de fouille et de dévissage, l'intérieur de notre Chevrolet semblait avoir été lobotomisé. Mais Mason avait extrait l'ordinateur d'infotainment, de la taille d'une petite boîte à déjeuner. Il l'a découpé en une carte de circuit imprimé, qui a alimenté son ordinateur portable. Les données n'ont pas été copiées lors de nos premières tentatives. "Il y a beaucoup d'essais et d'erreurs", dit Mason.

(N'essayez pas cela à la maison. Sérieusement - nous avons dû emmener la voiture dans un atelier de réparation pour faire réinitialiser l'ordinateur d'infotainment).

Ça en valait la peine quand Mason m'a montré mes données. Il y avait sur une carte l'endroit précis où j'avais conduit pour démonter la Chevy. Il y avait mes autres destinations, comme la quincaillerie où je m'étais arrêté pour acheter du scotch.

Parmi la foule de points de données, il y avait des identificateurs uniques pour mon téléphone et celui de Doug, et un journal détaillé des appels téléphoniques de la semaine précédente. Il y avait une longue liste de contacts, jusqu'à l'adresse des gens, leurs courriels et même des photos.

Pour une perspective plus large, Mason a également extrait les données d'un ordinateur d'info-divertissement Chevrolet que j'ai acheté d'occasion sur eBay pour 375 $. Il contenait assez de données pour reconstruire les voyages et les relations d'un parfait inconnu dans le nord de l'État de New York. Nous savons qu'il ou elle appelait souvent quelqu'un dont le nom est " Sweetie ", et dont nous avons également la photo. Nous avons pu voir la station exacte du Golfe où ils ont acheté de l'essence, le restaurant où ils ont mangé (appelé Taste China) et les identificateurs uniques de leurs téléphones Samsung Galaxy Note.

Les systèmes d'info-divertissement peuvent collecter encore plus. Mason a piraté des Ford qui enregistrent les emplacements toutes les minutes, même si vous n'utilisez pas le système de navigation. Il a vu des voitures allemandes équipées de disques durs de 300 gigaoctets, soit cinq fois plus qu'un iPhone 11 de base. Le Tesla Model 3 peut collecter des extraits vidéo des nombreuses caméras de la voiture. À venir : les données sur les visages, utilisées pour personnaliser le véhicule et suivre l'attention du conducteur.

Dans notre Chevrolet, nous n'avons probablement entrevu qu'une fraction de ce que GM sait. Nous n'avons pas vu ce qui a été téléchargé sur les ordinateurs de GM, car nous ne pouvions pas accéder à la connexion cellulaire OnStar en direct. (Des chercheurs ont déjà fait ce genre de piratage pour prouver que les véhicules connectés peuvent être contrôlés à distance).

Mon propriétaire de voiture bénévole, Doug, a demandé à GM de voir les données qu'elle a recueillies et partagées. Le constructeur automobile vient de nous indiquer une politique de confidentialité obscure. Doug a aussi (deux fois) envoyé à GM une demande formelle en vertu d'une loi californienne de 2003 sur les données pour demander à qui la compagnie partageait ses informations. Il n'a reçu aucune réponse.

Le porte-parole de GM, David Caldwell, a refusé de donner des détails sur la Chevrolet de Doug, mais a déclaré que les données que GM recueille se classent généralement dans trois catégories : l'emplacement du véhicule, la performance du véhicule et le comportement du conducteur. " La plupart de ces données sont très techniques, ne peuvent être reliées à des individus et ne quittent pas le véhicule lui-même ", a-t-il dit.

La société, a-t-il dit, recueille des données en temps réel pour surveiller les performances des véhicules afin d'améliorer la sécurité et d'aider à concevoir les futurs produits et services.


Le score du conducteur - une mesure de la bonne conduite - est basé sur la force avec laquelle vous freinez et tournez et sur la fréquence à laquelle vous conduisez tard dans la nuit. Ils partageront cette information avec les compagnies d'assurance, si vous le souhaitez. Avec le service OnStar payant, je pourrais, sur demande, localiser l'emplacement exact de la voiture. Il offre également le WiFi à bord du véhicule et un accès à distance par clé pour les livraisons de colis sur Amazon. Un Marché OnStar connecte le véhicule directement à des applications tierces pour Domino's, IHOP, Shell et autres.

La politique de confidentialité d'OnStar, qui ne sera peut-être jamais lue que par votre serviteur, accorde à l'entreprise des droits sur un vaste ensemble de données personnelles et de conduite sans trop de détails sur le moment et la fréquence de leur collecte. Elle dit : " Nous pouvons conserver les renseignements que nous recueillons aussi longtemps que nécessaire " afin d'exploiter, de mener des recherches ou de satisfaire aux obligations contractuelles de GM. Traduction : à peu près pour toujours.

Il est probable que GM et d'autres constructeurs automobiles ne conservent qu'une partie des données que les voitures génèrent. Mais considérez cela comme un phénomène temporaire. Les réseaux cellulaires 5G à venir promettent de relier les voitures à l'Internet avec des connexions ultra-rapides et à très haute capacité. Comme les connexions sans fil deviennent moins chères et les données plus précieuses, tout ce que la voiture sait sur vous est une partie de plaisir.

Se protéger

Le point de vue de GM, partagé par de nombreux autres constructeurs, est que nous leur avons donné la permission de faire tout cela. "Rien ne se passe sans le consentement du client", a dit Caldwell de GM.

Lorsque mon bénévole Doug a acheté sa Chevrolet, il ne s'est même pas rendu compte que le service de base OnStar était offert de série. (Je ne le blâme pas - qui sait vraiment ce qu'ils paraphent tous sur un contrat d'achat de voiture). Il n'y a pas de bouton ou de menu à l'intérieur de la Chevrolet pour désactiver OnStar ou toute autre collecte de données, bien que GM affirme en avoir ajouté un pour les véhicules plus récents. Les clients peuvent appuyer sur le bouton OnStar de la console et demander à un représentant de le déconnecter à distance.

Quel est le problème ? D'après les conversations que j'ai eues avec des gens de l'industrie, je sais que plusieurs constructeurs automobiles n'ont pas encore totalement compris quoi faire avec les quantités croissantes de données de conduite que nous générons. Mais cela ne les empêche pas de les collecter.

Il y a cinq ans, 20 constructeurs automobiles ont adhéré à des normes volontaires de protection de la vie privée, s'engageant à " fournir aux clients des renseignements clairs et significatifs sur les types de renseignements recueillis et la façon dont ils sont utilisés ", ainsi que " des moyens pour les clients de gérer leurs données ". Mais lorsque j'ai appelé huit des plus grands constructeurs automobiles, aucun d'entre eux n'a proposé de tableau de bord permettant aux clients de consulter, de télécharger et de contrôler leurs données.

Les constructeurs automobiles n'ont pas encore eu de calcul de données, mais ils doivent en avoir un. GM a mené une expérience dans le cadre de laquelle elle a suivi les goûts musicaux de 90 000 conducteurs volontaires pour rechercher des modèles en fonction de leurs déplacements. Selon le Detroit Free Press, GM a dit aux spécialistes du marketing que les données pourraient les aider à persuader un amateur de musique country qui s'arrête normalement au Tim Horton's d'aller plutôt au McDonald's.

GM ne voulait pas me dire exactement quelles données elle avait recueillies pour ce programme, mais elle a dit que " les renseignements personnels n'étaient pas en cause " parce qu'il s'agissait de données anonymes. (Les défenseurs de la vie privée ont averti que les données de localisation sont personnelles parce qu'elles peuvent être réidentifiées avec des individus parce que nous suivons des modèles si uniques).

La politique de confidentialité de GM, que la compagnie dit qu'elle mettra à jour avant la fin de 2019, dit qu'elle peut " utiliser des informations anonymes ou les partager avec des tiers pour toute raison commerciale légitime ". Comme qui ? " Les détails de ces relations avec des tiers sont confidentiels ", a déclaré Caldwell.

Il y a d'autres questions. La politique de confidentialité de GM dit qu'elle se conformera aux exigences légales en matière de données. À quelle fréquence partage-t-elle nos données avec le gouvernement ? GM n'offre pas un rapport de transparence comme le font les entreprises de technologie.

Les constructeurs automobiles disent qu'ils font passer la sécurité des données en premier. Mais je pense qu'ils ne sont pas habitués à ce que les clients exigent la transparence. Ils veulent probablement aussi avoir le contrôle exclusif sur les données, étant donné que les menaces existentielles de l'industrie - les technologies d'auto-conduite et d'auto-hébergement - sont conçues sur cette base.

Mais ne pas s'ouvrir amène aussi des problèmes. Les constructeurs automobiles se battent avec les ateliers de réparation du Massachusetts au sujet d'une proposition qui obligerait les sociétés automobiles à accorder aux propriétaires - et aux mécaniciens - l'accès aux données télématiques. Selon l'Auto Care Association, le verrouillage des ateliers indépendants pourrait donner aux consommateurs moins de choix et nous faire payer plus cher pour le service. Les constructeurs automobiles disent que c'est un risque pour la sécurité et la protection de la vie privée.

En 2020, la California Consumer Privacy Act obligera toute entreprise qui recueille des données personnelles sur les résidents de l'État à donner accès à ces données et à donner aux gens la possibilité de refuser de les partager. GM a dit qu'elle se conformerait à la loi, mais n'a pas dit comment.

Certains constructeurs automobiles sont-ils meilleurs ? Parmi les politiques de confidentialité que j'ai lues, celle de Toyota se distingue par le fait qu'elle trace des lignes claires au sujet du partage des données. Elle dit qu'elle ne partagera pas de " renseignements personnels " avec des revendeurs de données, des réseaux sociaux ou des réseaux publicitaires - mais elle se donne quand même le droit de partager ce qu'elle appelle des " données sur les véhicules " avec ses partenaires commerciaux.

Tant que les constructeurs automobiles ne consacreront pas une fraction des efforts qu'ils déploient dans les publicités télévisées pour nous donner le contrôle de nos données, je me méfierais de l'utilisation d'applications embarquées ou de l'inscription à des services de données supplémentaires. Au moins, les applications pour téléphones intelligents comme Google Maps vous permettent de désactiver et de supprimer l'historique des emplacements.

Et le piratage de Mason a révélé une réalité effrayante : Le simple fait de brancher un smartphone dans une voiture peut compromettre vos données. Si vous vendez votre voiture ou si vous renvoyez un contrat de location, prenez le temps de supprimer les données enregistrées sur le système d'infodivertissement. Une application appelée Privacy4Cars offre des indications modèle par modèle. Mason offre en cadeau des prises USB d'allume-cigare, qui vous permettent de charger un téléphone sans le brancher à l'ordinateur de bord de la voiture. (Vous pouvez en acheter des peu coûteuses en ligne).

Si vous achetez un nouveau véhicule, dites au concessionnaire que vous voulez connaître les services connectés - et comment les désactiver. Peu d'entre eux offrent un " coupe-circuit " Internet, mais ils peuvent au moins vous permettre de désactiver le repérage.

Ou, pour l'instant du moins, vous pouvez simplement acheter une vieille voiture. Mason, par exemple, conduit une Toyota de 1992 qui n'est pas connectée.

source :
https://www.washingtonpost.com/technology/2019/12/17/what-does-your-car-know-about-you-we-hacked-chevy-find-out/

Enregistrer un commentaire

Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.

Plus récente Plus ancienne