« L’erreur est humaine, mais pour véritablement semer la pagaille, une mauvaise configuration de serveur cloud suffit. » Ça pourrait être le début d’une blague, mais pour BMW, c’est une réalité plutôt grinçante. Les voitures de la marque allemande sont peut-être blindées de technologie, mais quand il s’agit de cloud, il semble que la porte soit restée grande ouverte !
C’est en grattant la surface numérique du web que Can Yoleri, un chercheur en sécurité chez SOCRadar, est tombé sur la poule aux œufs d’or ou plutôt sur la bévue cloudesque de BMW. Un serveur de stockage était aussi exposé qu’une voiture de sport au soleil de midi sur le parking d’une plage en été.
Et que contenait cette malle au trésor numérique malencontreusement déverrouillée ? Des clés privées, des données internes, et un accès tous risques à divers services dans le nuage, un vrai menu festin pour tout hacker avec un appétit pour les données sensibles. « Oups » est probablement le mot le plus poli qu’on puisse utiliser en pareille circonstance.
Pour savoir depuis combien de temps cette bévue datait, il aurait fallu une boule de cristal car, comme nous le rappelle Yoleri, seul le propriétaire du seau aurait pu le dire. Mystère et boule de gomme !
Et comme dans toute bonne tragédie comique, les responsables ne sont pas tout à fait sûrs de l’ampleur des dégâts. BMW appuie sur le frein à main en confirmant, via Chris Overall, leur porte-parole, qu’aucune donnée personnelle ou client n’a été percutée lors de cet accrochage virtuel.
La marque à l’hélice tournoyante confirme cependant que la bévue a été corrigée début 2024 (ah, ces résolutions de nouvelle année !) et que désormais, on contrôle le périmètre de près. Mais si vous demandez des précisions sur le nombre de tours de circuit fait par les données avant leur retour aux stands, c’est le silence radio.
L’arbre à cames se grippe encore plus quand on découvre que, malgré l’alerte, BMW n’a pas jugé bon de changer les clés d’accès découvertes. Yoleri, étant tombé sur le pot aux roses, a bien sûr averti la marque… mais le retour fut aussi silencieux qu’une voiture électrique à l’arrêt. C’est peut-être ça le futur : des secrets bien gardés et des réponses en option.
Un dernier coup d’œil dans le rétroviseur rappelle que Mercedes-Benz a également pris un PV pour excès de négligence le mois dernier. Mais eux, dès que les gyrophares de TechCrunch ont illuminé la faille, ils ont promptement révoqué leur clé privée à l’origine de la fuite. Une conduite à suivre!
Source : Techcrunch
