Une nouvelle peu réjouissante pour les clients de Toyota. Le constructeur automobile japonais a admis que des données personnelles des utilisateurs liées à son application T-Connect ont potentiellement été exposées à des pirates. Cela concerne en particulier les adresses e-mail de 296 019 clients ainsi que les numéros de gestion. Des informations potentiellement utilisables par des pirates pour réaliser des campagnes de phishing ciblées en usurpant par exemple l'assistance technique de Toyota. Le constructeur a expliqué que les numéros de téléphone ainsi que des cartes de crédit ne sont pas concernés. Cette exposition ne date pas d'hier : Toyota s'est en effet rendu compte seulement en septembre 2022 que des données de ses clients étaient à risque depuis décembre 2017, soit quasiment depuis 5 ans. Le constructeur a prévenu les clients concernés de possibles campagnes malveillantes. Une réaction tardive compte tenu du temps écoulé avec la possibilité offerte aux pirates d'utiliser depuis des années ces informations personnelles.

Le souci est lié au code source de l'application T-Connect, permettant entre autre aux conducteurs d'appairer leur smartphone, d'accéder à au système infotainment du véhicule ou encore de se servir de leur smartphone comme d'une clé de contact, poussé sur GitHub. Après examen de ce code - il était temps - le fabricant automobile s'est rendu compte que ce référentiel de code accessible au public contenait une clé d'accès à un serveur qui stockait les données des clients. Dans la foulée de sa découverte, Toyota a rendu ce répertoire privé et changé la clé d'accès serveur. 

Revue et vérification de code insuffisantes ?

Cette affaire interroge : on se demande en effet pourquoi un grand groupe collectant des millions d'informations clients à travers le monde n'a pas mis en place de la revue de code systématique concernant l'ensemble de ses développements et applications. Mais Toyota est loin d'être le seul dans ce cas. Un récent rapport de Symantec a révélé que près de 2 000 applications iOS et Android avaient dans leur code des identifiants AWS en dur dans leur code. Une situation due aussi bien à la négligence des développeurs que de l'entreprise elle-même pour ne pas avoir mis en place de système de contrôle et de vérification de l'intégrité et de la sûreté de leur code. Dans le cas présent, Toyota a d'ailleurs pointé du doigt un développeur en sous-traitance mais ne peut pas, en tout état de cause, se dédouaner de ses responsabilités.