Une clé d’accès à un serveur de données Toyota se trouvait dans un référentiel public sur GitHub depuis près de cinq ans.

Pendant près de cinq ans, une clé d’accès au serveur de données Toyota était accessible au public sur GitHub. Le groupe automobile recommande aux clients concernés de l’application T-Connect de se protéger contre d’éventuelles attaques de phishing. Parce que de nombreuses adresses e-mail auraient pu se retrouver entre-temps dans l’immensité d’Internet.

Une clé d’accès au serveur de données de Toyota était accessible au public

Une partie du code source de l’application T-Connect de Toyota Motor Corporation a apparemment été stockée publiquement sur GitHub pendant près de cinq ans et était disponible en téléchargement. Ce qui est particulièrement explosif, cependant, c’est que ce code contenait une clé d’accès au serveur de données de l’entreprise. Cela a rendu potentiellement possible pour les attaquants d’intercepter les adresses e-mail et les numéros d’administration des clients du constructeur automobile.

Selon l’annonce officielle de Toyota, entre décembre 2017 et septembre 2022, des données ont été divulguées pour un total de 296 019 clients qui s’étaient inscrits auprès de T-Connect depuis juillet 2017. Ce n’est que le 17 septembre que l’entreprise a changé la clé d’accès afin qu’un accès non autorisé ne soit plus possible.

T-Connect est une application qui permet aux propriétaires de véhicules Toyota de connecter leur smartphone au système d’infodivertissement. Vous pouvez l’utiliser pour passer des appels et écouter de la musique. Mais les notifications, les données de conduite, l’état du moteur et la consommation de carburant peuvent également être consultés.

Les clients concernés doivent se méfier du phishing

La société affirme qu’elle n’a stocké aucun nom de client, numéro de carte de crédit ou numéro de téléphone dans la base de données concernée. De plus, il n’y avait aucun signe d’abus de données, bien que cela ne puisse être totalement exclu.

Toyota recommande donc aux clients concernés d’être particulièrement vigilants vis-à-vis des e-mails suspects dans leur boîte de réception, dont l’expéditeur ou l’objet leur paraît douteux. Par mesure de sécurité, les utilisateurs doivent supprimer immédiatement les messages de ce type et n’ouvrir en aucun cas les pièces jointes ou les liens qu’ils contiennent. Il est concevable que des attaquants utilisent à mauvais escient les adresses e-mail pour des campagnes de phishing ciblées. Un camouflage de la correspondance en message officiel de Toyota n’est pas à exclure.

Il n’y a pas que chez Toyota que les clés d’accès se retrouvent dans le code source

Malheureusement, il n’est pas rare que des informations d’identification sensibles se retrouvent dans le code source de diverses applications. De nombreux développeurs de logiciels stockent des clés d’accès codées en dur, parfois pour simplifier les processus de test internes et ainsi gagner du temps. Malheureusement, il arrive souvent que ces développeurs oublient de retirer à nouveau les clés avant de publier le logiciel.

Si alors, comme dans le cas de Toyota, la partie du code source dans laquelle sont stockées les clés d’accès est publiquement accessible, du coup n’importe qui peut accéder à des données qui n’étaient en fait destinées qu’à des yeux très précis. GitHub a maintenant implémenté une vérification de code pour bloquer les commits contenant des clés d’authentification. Cependant, de par sa nature même, ce système ne peut pas reconnaître les jetons définis par l’utilisateur.