Encore un vol en formation de trous IoT. Ceux-ci nous sont gracieusement offerts par l’équipe Talos, qui a relevé la bagatelle d’une vingtaine de défauts de sécurité dans le hub d’IoTs de Samsung, dénommé SmartThings Hub. La saga, ainsi que l’interminable liste de CVEs qui l’accompagne, est à lire sur le blog de l’équipe de recherche
Encore quelques belles failles avec le groupe Jaguar-Land Rover cette f
ois. Car ces Britanniques véhicules, tous connectés qu’ils sont, peuvent enregistrer un volume considérable de données (coordonnées GPS, appels aux services de dépannage du réseau de concessionnaires, journal d’activité du système d’air conditionné et autres informations issues des ordinateurs de bord). Jusque-là, rien d’anormal. Lesdites données sont consultables à l’aide d’une appliquette de téléphone, mais sont également stockées sur un service Cloud, consultable à distance. Et c’est là que les choses se gâtent,
explique Matt Watts. En voulant utiliser ce service, il se rend compte que le précédent propriétaire de son automobile achetée d’occasion avait également accès à ses données privées.
Emois, lettre au constructeur, et réponse lapidaire d’ycelui : « We are not in a position to remove
owner without their permission » (nous n’avons pas la possibilité de supprimer les données du propriétaire sans sa permission). Jaguar botte en touche à propos de cette fuite de données personnelles en se réfugiant derrière le respect des données à caractère personnel du précédent propriétaire. Probable Circular error, Abort, Ignore, Retry ? Seule solution proposée : contacter directement la personne en lui demandant de désactiver l’accès aux données.
