Menu

Aucun menu défini dans le customizer.

Actus AutomatiséesActus Techcybersecurite/failles-vulnerabilitesrobots-drones-vehicules/voitures-electriquesSciences

myAudi permettaient de localiser un véhicule à partir de son code VIN

Avatar de Krigs Par Krigs
2 0

Actualités Automatisées

myAudi permettaient de localiser un véhicule à partir de son code VIN

🕒 Publié le : 11/05/2026 à 11:56
 |  ✍️ Auteur : Korben ✨
 |  📚 Source : Les news de Korben

Le numéro VIN de votre voiture est visible sur le bas du pare-brise et récupérable par n’importe qui qui passe à côté. Et croyez le ou non, mais c’est pourtant sur ce numéro, visible de tous, que repose en partie le modèle de sécurité de myAudi, l’application connectée pour contrôler son véhicule Audi à distance.

Un chercheur qui se présente sous le pseudo
Decoder
a décidé de regarder ça de plus près. Son setup c’est un émulateur Android Pixel 7, Burp Suite en proxy pour intercepter le trafic réseau ainsi que
Frida Server
et Objection pour contourner le
certificate pinning
de l’app. Des outils et du boulot classique de pentest mobile, pas particulièrement sophistiqué donc…

Et ce qu’il a découvert grâce à ça, c’est que n’importe quel utilisateur myAudi peut ajouter le véhicule de quelqu’un d’autre à son compte en entrant simplement le VIN. Le rôle attribué est “GUEST_USER” donc au premier abord, ça peut sembler anodin mais ça donne quels accès, au juste ? Hé bien on va voir ça car c’est pas si simple.

Tout d’abord,
l’introspection GraphQL
est activée en production sur l’API de myAudi, ce qui revient à laisser un plan d’architecte en libre accès dans le hall d’entrée d’une banque. N’importe qui peut donc cartographier l’intégralité des fonctionnalités exposées.

Plus sérieux et toujours pas patché à l’heure de la publication, via l’API msg.audi.de, un utilisateur avec le rôle GUEST_USER peut aussi récupérer l’IMEI et l’ICCID de la carte SIM embarquée dans le véhicule. Ces identifiants permettent alors potentiellement de tracer la carte SIM sur les réseaux mobiles.

Et là, la faille qui a été corrigée depuis, ce sont celles concernant les “requêtes en attente” d’un véhicule qui étaient lisibles par n’importe quel “invité”. Parmi elles, les commandes “honk & flash” (klaxon + appels de phares) qui contenaient la position GPS de la voiture. Du coup, avec juste un VIN, on pouvait savoir physiquement où se trouvait la voiture… Ça rappelle un peu comment
les données Strava avaient suffi à localiser le porte-avions Charles-de-Gaulle
en pleine mission.

Et derrière tout ça, il y a CARIAD, la filiale “software” du groupe Volkswagen dont j’avais
déjà évoqué les difficultés
l’an dernier, et qui gère les services numériques pour VW, Audi, Seat et Skoda.

CARIAD a donc patché la faille GPS mais pour le reste, c’est encore “under evaluation“. Je rappelle que c’est la même filiale qui, en décembre 2024, avait exposé les données de
800 000 véhicules électriques
via une mauvaise configuration AWS, avec des coordonnées GPS précises à 10 centimètres près pour les modèles VW et Seat. Le Chaos Computer Club l’avait découvert, et des politiciens, des chefs d’entreprise et des forces de l’ordre se trouvaient dans le lot des données exposées…

Donc bon, y’a encore un peu de taf pour sécuriser ces voitures un peu trop connectées… En tout cas, l’analyse de Decoder est disponible sur
son blog
si ça vous dit. De son côté, il précise continuer à creuser l’architecture CARIAD car y’a sûrement d’autres trucs rigolo à trouver.

On verra bien…

Avatar de Krigs

À propos de l'auteur

https://github.com/Krigsexe

Voir tous les articles de Krigs

Articles similaires

Leave a Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Profil Gravatar