Applications automobiles : qui a les clés de votre voiture ?

La plupart des applications tierces pour voitures connectées demandent à avoir accès au compte que vous avez créé pour le constructeur. Est-ce sans danger ?

Applications automobiles : qui a les clés de votre voiture ?

N’importe quel véhicule moderne est un ordinateur sur roues ; et beaucoup sont connectés à Internet. Par conséquent, en plus du véhicule, les constructeurs développent des applications qui permettent de le contrôler à distance. Elles peuvent être utilisées pour vérifier l’emplacement de la voiture, pour allumer le chauffage ou la climatisation en avance, pour ouvrir ou fermer les portières, etc.

Pourtant, les utilisateurs ont tous des besoins différents et il est impossible de regrouper toutes les fonctionnalités dans une seule application. C’est pourquoi, en plus du programme des constructeurs, nous trouvons des applications tierces. Il y en a pour tous les goûts et pour tous les budgets. Est-ce sans danger ? Nos chercheurs ont mené l’enquête

Qui conduit votre voiture ?

Pour que la voiture sache que la personne qui utilise l’application est vraiment vous, vous devez saisir un nom d’utilisateur et un mot de passe. Si vous utilisez l’application développée par le constructeur de la voiture, vos identifiants ne sont pas communiqués à un tiers, ce qui est un point positif. De plus, les produits de constructeurs de voitures doivent satisfaire certaines normes de sécurité.

Si vous choisissez une application tierce avec certaines fonctionnalités uniques que l’application officielle ne propose pas, elle doit avoir accès au véhicule ou aux données télémétriques. Certaines applications utilisent des solutions spécialement développées par le constructeur à ces fins, ce qui fait que vous n’avez pas à partager vos identifiants et que l’application a un accès restreint au véhicule. Cela vous permet d’utiliser les fonctionnalités sans que le programme ne puisse faire quoi que ce soit de dangereux, comme ouvrir les portières. Ces applications sont plus ou moins sûres mais peu nombreuses.

La plupart des applications pour voitures connectées vous demandent d’utiliser les mêmes identifiants (nom d’utilisateur et mot de passe) que ceux du constructeur. Autrement dit, ces applications ont un accès complet à votre compte. D’autre part, les règles de sécurité qui s’appliquent aux constructeurs automobiles ne concernent pas ces applications tierces, et c’est là que les ennuis commencent.

La confiance avant tout

L’étude se concentre principalement sur les applications mobiles tierces qui se servent du compte que le propriétaire du véhicule a créé pour le constructeur. Malheureusement, plus de la moitié des développeurs d’applications ne communiquent pas les risques encourus lorsque le compte est transféré. Ceux qui avertissent les utilisateurs affirment qu’ils ne vont pas conserver les identifiants ou qu’ils vont les stocker dans un format chiffré. Certains soulignent que le nom d’utilisateur et le mot de passe ne sont nécessaires que pour obtenir un jeton d’autorisation. Pourtant, un jeton autorise n’importe qui à utiliser votre compte en votre nom, tout comme vos identifiants, et le jeton pourrait être divulgué s’il n’est pas conservé correctement. De plus, vous ne pouvez pas vérifier comment vos identifiants sont gérés : soit vous faites confiance aux développeurs, soit vous n’utilisez pas l’application.

De plus, les développeurs de 14 % des applications que nos chercheurs ont étudiées ont montré qu’il était impossible de les contacter en cas de problème. Les coordonnées n’apparaissent pas sur leur site ou redirigent vers des pages qui ont été supprimées des réseaux sociaux.

La situation est similaire avec les services Web : l’utilisateur fournit ses identifiants sans vraiment savoir comment ils sont stockés et traités. Les solutions open source sont plus transparentes dans ce sens : les utilisateurs technophiles peuvent au moins étudier le code. Pourtant, cette tâche s’avère extrêmement difficile pour n’importe quel utilisateur sans connaissances techniques.

Un autre problème est que les systèmes du constructeur automobile et les applications tierces sont connectés par des services intermédiaires. Ils sont utilisés par les développeurs des applications automobiles et des services Web, mais ce peut être un point que les utilisateurs ignorent. Vous devez comprendre que si l’application automobile tierce que vous avez choisie fonctionne avec un service intermédiaire, les développeurs des deux programmes vont recevoir vos identifiants.

Des applications tierces ont accès à votre voiture : quels sont les risques ?

Si vos identifiants ne sont pas stockés en lieu sûr, des intrus peuvent y avoir accès. Ils ne pourront pas voler votre voiture mais ils pourront contrôler divers systèmes à distance : portières et vitres, climatisation, chauffage, klaxon, phares, etc. Si un intrus commence à klaxonner ou à jouer avec les phares pendant que vous conduisez, ce peut être désagréable, voire dangereux.

Cela ressemble à l’intrigue d’un James Bond : qui voudrait s’en prendre à vous d’une telle façon, avec une méthode si complexe ? Si ces données sont divulguées sur le domaine public, les farceurs du monde entier pourraient y avoir accès sur Internet et beaucoup pourraient s’en servir pour s’amuser sans vraiment penser aux conséquences.

De plus, si une application est piratée, les cybercriminels auront accès à toutes les données recueillies, y compris celles de géolocalisation. Ces dernières peuvent être utilisées pour suivre les déplacements du propriétaire du véhicule, et ce depuis n’importe où dans le monde.

Voici un exemple récent. Il n’y a pas si longtemps, David Colombo, un expert en sécurité de 19 ans, a accidentellement découvert une vulnérabilité dans l’application TeslaMate quant à la collecte, le stockage et la visualisation des données télémétriques des véhicules Tesla. Il a réussi à savoir où les propriétaires du véhicule vivaient, où ils se rendaient et à quelle vitesse, où les voitures étaient garées, où ils les mettaient à charger et quelles mises à jour ils avaient installées.

Même si l’application n’a été conçue que pour recueillir des données, et non pour contrôler la voiture, Colombo a réussi à le faire. Tout cela parce que le lieu de stockage où se trouvaient les identifiants des propriétaires étaient accessibles avec le mot de passe par défaut, alors que certaines informations pouvaient être obtenues sans aucune autorisation. Colombo a signalé le problème aux développeurs de l’application qui l’ont résolu assez rapidement. Même si cette histoire s’est bien terminée, elle montre que les applications automobiles tierces pourraient ne pas être aussi fiables que ce que les développeurs disent.

Devrai-je arrêter d’utiliser une application tierce ?

Tout cela va sans dire que vous ne devriez jamais utiliser une application tierce. Tous les développeurs ne sont en aucun cas indifférents à la sécurité des données des utilisateurs. Comme nous l’avons vu, les créateurs de TeslaMate ont réagi assez rapidement lorsqu’on leur a signalé la vulnérabilité et ont corrigé le bug. Et, comme nous l’avons dit, certaines applications n’ont pas besoin d’accéder complètement au compte que vous avez créé pour le constructeur automobile.

Cela étant dit, si vous voulez utiliser certaines fonctionnalités absentes dans l’application officielle du véhicule, faites attention. Choisissez, si possible, l’application d’un développeur fiable qui ne cache pas ses coordonnées et qui respecte le concept de transparence. Lisez les rapports publiés par les experts en sécurité et les avis laissés par les utilisateurs technophiles qui comprennent comment cela fonctionne et quels sont les risques.

Si vous utilisez une application tierce mais souhaitez arrêter, il convient de souligner qu’une simple désinstallation de l’application pourrait ne pas suffire…

  • Vérifiez si vous devez vous désabonner ou supprimer votre compte du service ;
  • Modifiez, juste au cas où, le mot de passe du compte que vous avez créé pour le constructeur automobile ;
  • Révoquez, si possible, tous les accès que l’application a à votre compte. Vous pouvez le faire depuis le site du constructeur ou via l’assistance technique.
Conseils