Le propriétaire de la voiture découvre une vulnérabilité de sécurité dans l'application Volkswagen
L'expert en sécurité informatique Vishal Bhaskar a découvert une vulnérabilité critique dans l'application My Volkswagen, qui pourrait permettre aux attaquants d'accéder aux données personnelles des propriétaires de voitures avec seulement le numéro d'identification du véhicule (VIN). La vulnérabilité n'affectait que la version indienne de l'application et Volkswagen l'a maintenant corrigée.
Voici ce que nous savons
Bhaskar est tombé par hasard sur le problème en tant que propriétaire de voiture ordinaire. Il a acheté une voiture d'occasion et a essayé de se connecter à celle-ci via l'application. Cependant, le mot de passe à usage unique (OTP) requis pour la confirmation a été envoyé à l'email de l'ancien propriétaire. Incapable de le contacter rapidement, Bhaskar a commencé à analyser les requêtes API de l'application et a découvert qu'il n'y avait pas de verrouillage pour les saisies de mots de passe incorrects.
Le chercheur a écrit un script qui recherchait parmi tous les codes à quatre chiffres possibles. En quelques secondes, le mot de passe a été trouvé et il a pu accéder aux données de la voiture. Pour cela, Bhaskar n'avait besoin que du VIN, qui peut être vu librement à travers le pare-brise.
Il ne s'est pas arrêté là et a continué ses recherches. Selon lui, l'un des points de terminaison API retournait les identifiants, mots de passe et jetons pour un certain nombre de services Volkswagen en clair. À travers un autre, il a accédé aux données de service, y compris les contrats signés, les informations de paiement et les détails personnels des propriétaires - noms, numéros de téléphone, adresses et emails.
Il était particulièrement alarmant que par certains points de terminaison, des données télématiques des véhicules, y compris leur géolocalisation actuelle, pouvaient être récupérées. Dans certains cas, la base de données stockait même des informations sur les détails du permis de conduire et des contacts d'urgence. Comme l'a souligné Bhaskar, l'ampleur des vulnérabilités était "extrêmement grave".
Le chercheur a contacté Volkswagen avec un rapport sur les vulnérabilités trouvées en novembre 2024. Il a initialement eu du mal à trouver les bons représentants, a-t-il dit, mais quatre jours après le premier email, l'entreprise a envoyé un accusé de réception. En mai 2025, il a reçu une confirmation officielle que toutes les vulnérabilités trouvées avaient été corrigées.
Source: Loopsec/Medium
