Vous vous levez à 6h du matin, et là, surprise : une cinquantaine de SUV autonomes Waymo s'engouffrent l'un après l'autre dans votre impasse, font demi-tour au rond-point, et repartent dans le même sens. C'est ce qui s'est passé sur Battleview Drive, une rue calme du quartier de Buckhead à Atlanta.

Le numéro VIN de votre voiture est visible sur le bas du pare-brise et récupérable par n'importe qui qui passe à côté. Et croyez le ou non, mais c'est pourtant sur ce numéro, visible de tous, que repose en partie le modèle de sécurité de myAudi, l'application connectée pour contrôler son véhicule Audi à distance.

Un chercheur qui se présente sous le pseudo Decoder a décidé de regarder ça de plus près. Son setup c'est un émulateur Android Pixel 7, Burp Suite en proxy pour intercepter le trafic réseau ainsi que Frida Server et Objection pour contourner le certificate pinning de l'app. Des outils et du boulot classique de pentest mobile, pas particulièrement sophistiqué donc...

Et ce qu'il a découvert grâce à ça, c'est que n'importe quel utilisateur myAudi peut ajouter le véhicule de quelqu'un d'autre à son compte en entrant simplement le VIN. Le rôle attribué est "GUEST_USER" donc au premier abord, ça peut sembler anodin mais ça donne quels accès, au juste ? Hé bien on va voir ça car c'est pas si simple.

Tout d'abord, l'introspection GraphQL est activée en production sur l'API de myAudi, ce qui revient à laisser un plan d'architecte en libre accès dans le hall d'entrée d'une banque. N'importe qui peut donc cartographier l'intégralité des fonctionnalités exposées.

Plus sérieux et toujours pas patché à l'heure de la publication, via l'API msg.audi.de, un utilisateur avec le rôle GUEST_USER peut aussi récupérer l'IMEI et l'ICCID de la carte SIM embarquée dans le véhicule. Ces identifiants permettent alors potentiellement de tracer la carte SIM sur les réseaux mobiles.

Et là, la faille qui a été corrigée depuis, ce sont celles concernant les "requêtes en attente" d'un véhicule qui étaient lisibles par n'importe quel "invité". Parmi elles, les commandes "honk & flash" (klaxon + appels de phares) qui contenaient la position GPS de la voiture. Du coup, avec juste un VIN, on pouvait savoir physiquement où se trouvait la voiture... Ça rappelle un peu comment les données Strava avaient suffi à localiser le porte-avions Charles-de-Gaulle en pleine mission.

Et derrière tout ça, il y a CARIAD, la filiale "software" du groupe Volkswagen dont j'avais déjà évoqué les difficultés l'an dernier, et qui gère les services numériques pour VW, Audi, Seat et Skoda.

CARIAD a donc patché la faille GPS mais pour le reste, c'est encore "under evaluation". Je rappelle que c'est la même filiale qui, en décembre 2024, avait exposé les données de 800 000 véhicules électriques via une mauvaise configuration AWS, avec des coordonnées GPS précises à 10 centimètres près pour les modèles VW et Seat. Le Chaos Computer Club l'avait découvert, et des politiciens, des chefs d'entreprise et des forces de l'ordre se trouvaient dans le lot des données exposées...

Donc bon, y'a encore un peu de taf pour sécuriser ces voitures un peu trop connectées... En tout cas, l'analyse de Decoder est disponible sur son blog si ça vous dit. De son côté, il précise continuer à creuser l'architecture CARIAD car y'a sûrement d'autres trucs rigolo à trouver.

On verra bien...

Ma Hyundai Ioniq 5 est belle.

Elle est confortable, spacieuse, l'autonomie tient la route, la recharge rapide envoie vraiment du lourd, et la conduite au quotidien est chill.

Bref, sur le papier, j'aurais dû être ce client conquis pour 10 ans.

Sauf qu'en vrai, cette voiture me stresse. Et ce n'est pas juste une impression puisqu'après 1 an d'utilisation, c'est un enchaînement de bugs, de pannes et de comportements routiers douteux qui m'a fait regretter carrément ma Toyota. Voici donc un retour honnête sur ce modèle 2025, après 1 an et bientôt 30 000 kilomètres au compteur.

Le plus flippant d'abord, c'est le contrôle de stabilité (l'ESP) qui décide de ralentir une seule roue arrière à bonne vitesse sur autoroute sans que je comprenne pourquoi... Et quand ça arrive, l'arrière de la voiture se met à chasser... La première fois que ça m'est arrivé, j'ai super flippé... j'ai coupé le régulateur, j'ai ralenti, et ça a recommencé au bout de quelques centaines de mètres. Ça m'est arrivé plusieurs fois à différents moment et pour régler le problème, il faut s'arrêter, rebooter, et prier pour que ça ne recommence pas avant d'arriver à la maison. Heureusement, ce n'est pas très fréquent mais sur une voiture de presque deux tonnes lancée à 110, c'est moyennement rassurant, j'avoue.

Le tableau de bord lui me fait autre chose. De temps en temps, de manière aléatoire, il s'éteint totalement puis se rallume et s'éteint...etc. Plus d'indicateur de vitesse, plus de niveau de batterie, plus rien. Juste un écran noir, voire parfois un message en rouge disant : "NO DISPLAY". Là encore, la solution c'est le reboot.

J'ai l'impression de conduire une bêta permanente.

Le moindre de mes problèmes mais un problème quand même, c'est également le niveau de liquide de lave-glace est toujours affiché comme bas, alors que le réservoir est plein à ras bord.

Et puis il y a les craquements. Dès que je passe sur une route un peu cabossée, ma Ioniq 5 fait un bruit de vieux plancher en bois. Ce sont les jointures métalliques ou les plastiques autour du coffre qui travaillent et qui craquent. Pour un véhicule électrique à ce prix, qui est censé être d'un silence monacal, c'est assez pénible je dois dire. J'ai presque envie de mettre la musique plus fort juste pour ne pas l'entendre.

Enfin, le bouquet final de y'a à peine 2 semaines c'est la panne sèche. Un matin, en emmenant les enfants à l'école, en redémarrant dans un rond point, d'un coup, plus aucune puissance. Dépanneuse, remorquage, direction le garage agréé. Verdict officiel : Les batteries sont OK mais tout s'est réinitialisé de lui-même. C'est ce qu'on m'a expliqué.

Ils ont reflashé, remis à jour, fait des trucs comme ça, puis repassé le diagnostic complet. Aucun souci détecté selon eux. Et pour le tableau de bord qui s'éteint ? Ils n'ont pas trouvé non plus. Quand à l'ESP qui fait valser l'arrière, on m'a dit d'attendre une mise à jour et j'attends toujours.

Bref, je dois dire que c'est pas des petits problèmes, et c'est assez stressant au quotidien.

Maintenant, pour être honnête la Ioniq 5 a de vraies qualités. La motorisation est une réussite technique complète. La recharge rapide en 15-20 minutes sur borne CCS est toujours un moment de plaisir, surtout comparé à la concurrence. L'autonomie annoncée est à peu près conforme à la réalité si on respecte les limitations. Le petit coffre à l'avant où je range les câbles de recharge + l'habitacle spacieux et modulable, les finitions plutôt chouettes, le confort général : tout ça est au rendez-vous. Et la conduite est effectivement chill, à condition d'accepter que la voiture décide parfois de prendre des initiatives cheloues.

Mais bon tout ça, ça ne suffit pas à compenser le stress parce que conduire, ce n'est pas juste rouler. C'est avoir confiance dans sa voiture, et là clairement, on n'y est pas. Surtout que d'un point de vue analyse au garage, y'a rien d'étrange qui ressort...

Bref, ma Ioniq 5 ne me rassure pas, et c'est peut-être le pire reproche que je puisse faire à un véhicule.

Je regrette carrément ma Toyota. Pas pour la techno, qui était plus simple, mais pour la fiabilité silencieuse. Pour cette impression qu'une voiture doit juste faire son boulot. Hyundai a clairement les compétences techniques sur l'électrique, mais tant que la partie "automobile" + "soft" autour de la batterie ne sera pas au même niveau, la promesse ne sera pas tenue.

Bref, je suis encore coincé avec un petit moment malheureusement. J'espère que des mises à jour viendront régler ces soucis.

Merci à Jacques qui m'a suggéré de faire un retour.