Toyota vient d’avertir ses clients d’une fuite de données suite à un incident de sécurité impliquant un code source hébergé sur GitHub. Près de 300 000 clients pourraient avoir vu leurs données personnelles divulguées. Comment cela a-t-il pu se produire et quels sont les risques pour votre voiture ?
Fuite de données chez Toyota : une erreur de configuration en cause
Dans un avis de violation de données, Toyota explique la fuite de données. Un développeur sous-traitant aurait téléchargé sur GitHub une partie du code source du site T-Connect et a défini par erreur un accès public. Le code contenait une clé d’accès au serveur de données qui stockait les adresses email et les numéros de gestion des clients.
Rappelons que T-Connect est le service télématique embarqué du constructeur japonais. En raison de cette mauvaise configuration, le code source est resté exposé à Internet depuis décembre 2017. L’accès public n’a été révoqué qu’en septembre dernier.
Dans son communiqué, Toyota déclare que les adresses email et les numéros de contrôle client de 296 019 personnes qui ont utilisé T-Connect ont été exposés. Toutefois, il n’y a aucune possibilité de fuite de noms, de numéros de téléphone, de cartes de crédit et d’autres informations, rassure-t-il.
Quel risque pour votre voiture ?
Aucun, si on en croit les explications du constructeur japonais. En effet, la fuite de données n’a pas affecté le service T-Connect de Toyota en lui-même ni les informations y afférentes. Il en est de même pour les données des applications G-Link/G-Link Lite MyTOYOTA/My TOYOTA+ pour les véhicules Lexus.
Toutefois, la société recommande la plus grande prudence aux clients touchés par la fuite. Des acteurs malveillants peuvent exploiter les emails dans une campagne de phishing bien qu’il n’y ait aucune preuve que des tiers ont pu exploiter les données. Néanmoins, rien n’exclut un éventuel accès aux informations exposées.
Le constructeur se veut rassurant. Dans son communiqué, il déclare avoir pris les mesures nécessaires dès qu’il a eu vent de l’incident. Son équipe a notamment changé la clé d’accès du serveur de données. Toyota a aussi mis en place une page spéciale sur son site Web qui permet aux utilisateurs de vérifier si leur adresse email a été exposée lors de l’incident.
Côté développeurs, quelles sont les mesures à prendre ?
Cette fuite de données subie par Toyota n’est malheureusement pas un cas isolé, bien au contraire. Ce genre d’incident est devenu bien trop récurrent chez GitHub. Les informations d’identification doivent être supprimées lorsqu’un logiciel est prêt pour le déploiement réel.
Malheureusement, comme le prouve le cas de T-Connect, les développeurs ne prennent pas toujours cette précaution. Face à ce problème persistant, GitHub a commencé à analyser le code publié à la recherche de secrets. Ceci afin de bloquer les commits de code contenant des clés d’authentification pour mieux sécuriser les projets.
Cependant, si un développeur utilise des clés d’accès non standard ou des jetons personnalisés, GitHub ne pourra pas les détecter par défaut. Les organisations doivent par ailleurs améliorer le contrôle du code source et la gestion des secrets, comme les clés d’accès.
- Partager l'article :