SDBR News : Sur les 90 millions de véhicules (voitures, camions et bus) produits dans le monde en 2024, 31,3 millions ont été produits en Chine, soit 34% du total mondial. En France, il suffit d’ouvrir les yeux pour voir passer des BYD, Xpeng, Beiking et autres Hongqi. Indépendamment du constat économique que cela pose, vous alertez sur un autre danger. Lequel ?

Nate Drier : Je pense que le danger avec les voitures connectées, surtout celles produites en Chine, c'est la quantité de télémétrie qu'elles peuvent collecter et, en fin de compte, qui sécurise ces données ? Pensez à une voiture moderne : elle est équipée de caméras et de capteurs lidar pour détecter tout son environnement extérieur. Elle peut avoir des caméras internes et des microphones. Elle connaît sa propre localisation via GPS et peut télécharger toute la télémétrie qu'elle collecte via WiFi ou LTE / Cell. Elle peut enregistrer en direct des vidéos de vos trajets domicile-travail, des bâtiments gouvernementaux que vous croisez sur votre chemin et de la conversation que vous avez en conduisant. De plus, en branchant votre téléphone, vous donnez à la voiture accès à un tout nouveau domaine de données - vos appels, messages et contacts.

À partir d'ici, il y a vraiment 2 questions auxquelles il faut répondre :

1. Quelle est l’intention du constructeur automobile avec toutes ces données ? Pourrait-il les vendre, ou les exploiter pour son propre profit ? Le gouvernement du pays du constructeur automobile pourrait-il le forcer à lui transmettre les données ?

2. Ce constructeur automobile fait-il un travail adéquat pour sécuriser les données qu'il recueille, ou est-ce que les acteurs de la Menace pourraient les obtenir ?

SDBR News : Pourquoi dites-vous que les données personnelles des utilisateurs de véhicules chinois sont susceptibles d’être compromises ? Pouvez-vous nous expliquer concrètement le schéma de compromission possible ?

Nate Drier : Vous branchez votre téléphone dans une voiture et cliquez sur le bouton «faire confiance» pour que votre téléphone puisse fonctionner en mode mains libres avec l'info-divertissement de la voiture. L'ordinateur de bord de la voiture peut désormais lire vos contacts, vos messages texte et bien plus encore. Il le télécharge dans l'environnement cloud du constructeur automobile, qui est ensuite vendu ou transféré à des tiers, ou bien l'environnement cloud est piraté et les données personnelles des utilisateurs sont obtenues par des pirates.

En ce qui concerne les véhicules fabriqués en Chine en particulier, leurs lois exigent que les données soient stockées à l'intérieur de leurs frontières et que leur gouvernement y ait un large accès.

SDBR News : J’ai une voiture allemande dotée d’un système de communication embarquée reliée à mon Smartphone. Suis-je donc aussi en situation de risque de compromission de mes données ?

Nate Drier : Le paysage réglementaire de l'Allemagne diffère de celui de la Chine à plusieurs égards (grâce au RGPD), il y a donc moins de risque que le gouvernement force un constructeur automobile à transmettre des données. Cependant, cette voiture allemande peut encore collecter beaucoup de données sur son environnement et ses passagers, les télécharger vers un emplacement présentant des vulnérabilités de sécurité, puis être accessible par des pirates.

SDBR News : Quel est l’antidote ? Ne plus acheter chinois, ne plus acheter de véhicules électriques ou, plus largement, ne plus connecter son Smartphone ailleurs que chez soi sur un Wifi de confiance ?

Nate Drier : Votre téléphone contient un trésor d'informations sur vous. Le meilleur antidote ici est de faire attention à l'endroit où vous synchronisez. De façon plus générale, je pense qu'il est essentiel de sensibiliser les gens à la façon dont nous communiquons nos données. Sachez qu'il y a d'innombrables gadgets dans notre vie qui collectent des données sur nous - téléphones, voitures, équipements de maison intelligente, ordinateurs, etc. Sachez qu'en utilisant ces choses, nous acceptons que ces entreprises utilisent / accèdent à nos données. Elles peuvent être de bons gardiens de ces informations - les garder sécurisées, ou les transférer / vendre à des tiers, ou les laisser non sécurisées et donc permettre qu'elles soient piratées. Il y a un certain degré de confiance dans le fait qu'elles vont faire ce qu'il faut faire, mais l'histoire nous montre que ce n'est pas toujours le cas. Par conséquent, nous pouvons assumer une partie de la responsabilité en faisant attention à la façon dont nous partageons nos données en premier lieu. Bien sûr, nous aimons tous le confort que les voitures et les téléphones modernes fournissent, mais cela entraine un risque potentiel pour vos données personnelles.

SDBR News : Quel est le rôle de la Read Team de Sophos ?

Nate Drier : Nous fournissons des services de tests de sécurité offensifs, qui visent à trouver des vulnérabilités dans les systèmes avant que les pirates ne le fassent. Cela comprend des éléments allant des réseaux informatiques et des applications Web des entreprises jusqu’aux dispositifs médicaux et aux véhicules autonomes.

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyber-attaques. L’éditeur a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native.

Le siège social de Sophos est situé à Oxford, au Royaume-Uni.

Pour plus d’informations, consultez le site www.sophos.com/fr.