« À force de laisser traîner les clés, il ne faut pas s’étonner si quelqu’un rentre dans la voiture ! » Voilà une maxime que Tata Motors pourrait bien ajouter à son manuel d’employé, après le petit tour de passe-passe signé Eaton Zveare, chercheur en cybersécurité. Car cette fois, le grand constructeur automobile indien a clairement confondu coffre-fort et boîte à gants digitale…
Tout a commencé lorsque Zveare a jeté un œil curieux à E-Dukaan, le portail officiel de Tata Motors qui permet aux pros d’acheter des pièces détachées pour leurs véhicules. L’entreprise ultra-cosmopolite, présente dans 125 pays et aussi à l’aise dans le SUV familial que dans le camion militaire, avait semble-t-il oublié de lire les petits caractères de son propre contrat de sécurité. Résultat : des clefs privées AWS planquaient… directement dans le code source du site ! On a vu mieux pour cacher son trésor.
L’affaire ne s’arrête pas à une Master Key trop visible. Ces accès ouvraient la porte à tout un garage numérique : factures client à la pelle (et donc noms, adresses, et numéros PAN – le graal de l’identifiant indien), backups MySQL, fichiers volumineux, et même 70 téraoctets de données du logiciel FleetEdge. Cerise sur le gâteau, l’accès admin secret à Tableau laissait entrevoir des tableaux de bord bien plus fournis qu’un plateau-repas aérien. Zveare, grand seigneur, a évité de vider le réservoir de données, histoire de ne pas faire chauffer la facture d’Amazon ni déclencher la grande panique chez Tata.
Quand on laisse traîner ses clés, il ne faut pas s’étonner qu’on vienne fouiller dans la boîte à gants numérique.
Ce trésor caché incluait aussi, selon nos explorateurs modernes du web, un accès à Azuga, la plateforme maison pour suivre ses flottes de véhicules et tester leur conduite. Bref, qui voulait jouer au Big Boss de Tata n’avait qu’à sortir son plus beau hoodie à capuche…
Heureusement pour Tata Motors, la bienveillance règne encore parfois sur la planète informatique. Après avoir contacté le CERT-In (le gendarme indien du cyber-monde) dès août 2023, Zveare a gentiment attendu que les brèches soient colmatées en octobre, avant d’embarquer son histoire dans la presse. Rien ne dit cependant si Tata a averti ses milliers de clients qu’ils risquaient de recevoir plus qu’une simple pub pour essuie-glaces…
La firme assure avoir tout réparé, bossant avec les meilleurs experts pour vérifier son « infrastructure » et gardant un œil — façon aigle royal — sur les journaux d’accès pour repérer tout conducteur clandestin. Sudeep Bhalla, le chef de la com’, rappelle que Tata Motors joue la carte de la prévention, audit après audit. Mais que ceux qui aiment savoir où atterrissent leurs coordonnées patientent un peu : sur la transparence côté notifications clients, le moteur semble caler.
Morale de l’histoire : même les constructeurs qui roulent partout dans le monde peuvent perdre la tête lorsqu’il s’agit de conduire… la sécurité informatique. Une bévue certes corrigée, mais qui rappelle une vieille règle de l’auto : toujours vérifier ses clés avant de fermer la porte !
À ce rythme, la prochaine édition du manuel Tata Motors s’intitulera peut-être « Sécurité : mettez la gomme sur vos mots de passe »… et évitez de glisser vos clés dans la portière du web !
Source : Techcrunch
