Les voitures connectées offrent de nombreux avantages aux utilisateurs, surtout lorsqu’il s’agit d’informations supplémentaires ou des fonctionnalités de contrôle à distance. Pourtant, comme d’habitude, les nouvelles opportunités sont souvent accompagnées de nouvelles menaces. Certaines sont associées à des applications et services conçus pour les propriétaires de voitures connectées, et développés par les constructeurs et des entreprises tierces. Nos collègues ont récemment étudié plusieurs applications et services connus, et ont décrit les principaux défauts en termes de sécurité des informations. Les résultats de cette étude ont été publiés sur notre blog Securelist. Dans ce rapport, les failles des applications sont décrites du point de vue de l’utilisateur. Pourtant, les conclusions que nous pouvons en tirer devraient intéresser les développeurs de programmes.
Les failles les plus courantes des applications pour voitures connectées
Un nombre important d’applications est utilisé comme lien intermédiaire entre le propriétaire et le service du constructeur automobile. Ces services exigent généralement l’utilisation d’un identifiant et d’un mot de passe (ou d’un jeton d’autorisation). En d’autres termes, le propriétaire du véhicule donne virtuellement les clés de sa voiture au développeur du programme, et certains utilisateurs n’en ont pas conscience. Nous avons exposé les principales failles de ces applications.
Un manque de transparence
La confiance est le point le plus déterminant dans cette relation entre les développeurs et les utilisateurs. Ainsi, il est extrêmement important d’informer clairement et explicitement l’utilisateur que :
- votre application utilise le compte client créé à l’origine pour le service officiel ;
- vous ne conservez pas les identifiants de connexion (ou que vous les stockez mais qu’ils sont chiffrés) ;
- le jeton d’autorisation vous donne accès à certaines fonctionnalités du véhicule ;
- l’utilisateur accepte de prendre plus de risques en utilisant l’application.
L’absence d’un canal de communication avec les développeurs
Les développeurs de programmes laissent souvent un canal de communication ouvert pour recevoir les commentaires des utilisateurs. Bien sûr, nous n’avons jamais vu les auteurs d’applications gratuites offrir une assistance technique 24 heures sur 24 et 7 jours sur 7. En revanche, les applications qui peuvent interférer avec les opérations des voitures connectées devraient au moins compter sur un moyen de communication pour faire face aux imprévus, ne serait-ce que pour la sûreté et la sécurité du véhicule ou du conducteur.
Une interruption incorrecte de la coopération
Lorsqu’un client désinstalle votre application, vous ne pouvez pas savoir pourquoi il l’a fait. Peut-être qu’il n’a plus besoin de vos services, ou qu’il a envie de changer de dispositifs. S’il s’agit de la première raison, vous devriez rappeler à l’utilisateur qu’il devrait annuler son abonnement et / ou supprimer son compte. Il serait aussi souhaitable de lui conseiller de modifier le mot de passe dans le service du constructeur automobile ou de supprimer le jeton d’autorisation. D’une part, cela montre que vous prenez la sécurité de l’utilisateur et la confidentialité de ses données très au sérieux. D’autre part, vous vous libérez de toute responsabilité inutile.
D’autres conseils de sécurité pour votre application
Personne ne veut que son application ne puisse être utilisée pour s’en prendre à la voiture de l’utilisateur. Ainsi, nos experts demandent aux développeurs d’applications pour voitures connectées d’adopter d’autres mesures de précaution pour ne pas compromettre leurs clients et leur entreprise. Voici quelques conseils pratiques :
- Adoptez des solutions qui peuvent sécuriser le processus de développement du programme lors de l’exécution du contrôle de l’application, rechercher des vulnérabilités avant le déploiement, mettre en place une routine de contrôle en termes de sécurité des conteneurs et tester les capacités de protection face aux malwares.
- Mettez en place des mécanismes de sécurité dans l’application.
- Réalisez plusieurs audits de sécurité des solutions clé en main avant de les lancer sur le marché.