● Korben 📅 11/05/2026 à 13:49

Cybersécurité 👤 Korben ✨

🏷️ Tags : cert réseau rte

myAudi permettaient de localiser un véhicule à partir de son code VIN11 mai 2026 / PAR KORBEN ✨ / 3 MIN DE LECTURE /Catégories connexesCe qu’il faut retenirUn chercheur a découvert que n'importe quel utilisateur de myAudi peut ajouter le véhicule de quelqu'un d'autre à son compte en entrant simplement son numéro VIN, visible sur le pare-brise.Avec le rôle GUEST_USER obtenu via le VIN, un attaquant pouvait lire les "requêtes en attente" du véhicule, dont les commandes "honk & flash" contenant la position GPS exacte de la voiture — la faille GPS a été patchée mais d'autres restent "under evaluation".L'introspection GraphQL est activée en production sur l'API de myAudi, exposant l'architecture complète des fonctionnalités, et via l'API msg.audi.de un GUEST_USER peut récupérer l'IMEI et l'ICCID de la carte SIM du véhicule pour potentiellement la tracer sur les réseaux mobiles.Résumé généré par IALe numéro VIN de votre voiture est visible sur le bas du pare-brise et récupérable par n'importe qui qui passe à côté. Et croyez le ou non, mais c'est pourtant sur ce numéro, visible de tous, que repose en partie le modèle de sécurité de myAudi, l'application connectée pour contrôler son véhicule Audi à distance.Un chercheur qui se présente sous le pseudo Decoder a décidé de regarder ça de plus près. Son setup c'est un émulateur Android Pixel 7, Burp Suite en proxy pour intercepter le trafic réseau ainsi que Frida Server et Objection pour contourner le certificate pinning de l'app. Des outils et du boulot classique de pentest mobile, pas particulièrement sophistiqué donc...Et ce qu'il a découvert grâce à ça, c'est que n'importe quel utilisateur myAudi peut ajouter le véhicule de quelqu'un d'autre à son compte en entrant simplement le VIN. Le rôle attribué est "GUEST_USER" donc au premier abord, ça peut sembler anodin mais ça donne quels accès, au juste ? Hé bien on va voir ça car c'est pas si simple.Tout d'abord, l'introspection GraphQL est activée en production sur l'API de myAudi, ce qui revient à laisser un plan d'architecte en libre accès dans le hall d'entrée d'une banque. N'importe qui peut donc cartographier l'intégralité des fonctionnalités exposées.Plus sérieux et toujours pas patché à l'heure de la publication, via l'API msg.audi.de, un utilisateur avec le rôle GUEST_USER peut aussi récupérer l'IMEI et l'ICCID de la carte SIM embarquée dans le véhicule. Ces identifiants permettent alors potentiellement de tracer la carte SIM sur les réseaux mobiles.Et là, la faille qui a été corrigée depuis, ce sont celles concernant les "requêtes en attente" d'un véhicule qui étaient lisibles par n'importe quel "invité". Parmi elles, les commandes "honk & flash" (klaxon + appels de phares) qui contenaient la position GPS de la voiture. Du coup, avec juste un VIN, on pouvait savoir physiquement où se trouvait la voiture... Ça rappelle un peu comment les données Strava avaient suffi à localiser le porte-avions Charles-de-Gaulle en pleine mission.Et derrière tout ça, il y a CARIAD, la filiale "software" du groupe Volkswagen dont j'avais déjà évoqué les difficultés l'an dernier, et qui gère les services numériques pour VW, Audi, Seat et Skoda.CARIAD a donc patché la faille GPS mais pour le reste, c'est encore "under evaluation". Je rappelle que c'est la même filiale qui, en décembre 2024, avait exposé les données de 800 000 véhicules électriques via une mauvaise configuration AWS, avec des coordonnées GPS précises à 10 centimètres près pour les modèles VW et Seat. Le Chaos Computer Club l'avait découvert, et des politiciens, des chefs d'entreprise et des forces de l'ordre se trouvaient dans le lot des données exposées...Donc bon, y'a encore un peu de taf pour sécuriser ces voitures un peu trop connectées... En tout cas, l'analyse de Decoder est disponible sur son blog si ça vous dit. De son côté, il précise continuer à creuser l'architecture CARIAD car y'a sûrement d'autres trucs rigolo à trouver.On verra bien...Référenceshttps://decoder.cloud/2026/05/08/oh-myaudi/https://graphql.org/learn/introspection/https://www.rescana.com/post/in-depth-technical-analysis-volkswagen-cariad-cloud-misconfiguration-exposes-data-of-800-000-electr/Cet article peut contenir des images générées à l'aide de l'IA - J'apporte le plus grand soin à chaque article, toutefois, si vous repérez une boulette, faites-moi signe !Vous avez aimé cet article ?Alors rejoignez ma communauté sur Patreon et accédez à des articles exclusifs, des tutos avancés et plein d'autres surprises que je réserve à mes soutiens. C'est grâce à vous que je peux continuer à partager ma passion depuis 20 ans !Rejoindre l'aventure Que faire après le bac quand on est passionné de cybersécurité ?Contenu partenaireEntièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).Guardia CS forme aussi les professionnels à la cybersécurité via plusieurs formations en ligneVoir le site internet de l'école de cybersécurité Guardia CS📬 La newsletter Korben — Un concentré de tech, d'actu et de bidouille dans votre boite mail. S'inscrire

🔗 Lire l'article original 👁️ 0 lecture