ont men\u00e9 l\u2019enqu\u00eate<\/a>\u2026<\/p>\nQui conduit votre voiture ?<\/h2>\n Pour que la voiture sache que la personne qui utilise l\u2019application est vraiment vous, vous devez saisir un nom d\u2019utilisateur et un mot de passe. Si vous utilisez l\u2019application d\u00e9velopp\u00e9e par le constructeur de la voiture, vos identifiants ne sont pas communiqu\u00e9s \u00e0 un tiers, ce qui est un point positif. De plus, les produits de constructeurs de voitures doivent satisfaire certaines normes de s\u00e9curit\u00e9.<\/p>\n
Si vous choisissez une application tierce avec certaines fonctionnalit\u00e9s uniques que l\u2019application officielle ne propose pas, elle doit avoir acc\u00e8s au v\u00e9hicule ou aux donn\u00e9es t\u00e9l\u00e9m\u00e9triques. Certaines applications utilisent des solutions sp\u00e9cialement d\u00e9velopp\u00e9es par le constructeur \u00e0 ces fins, ce qui fait que vous n\u2019avez pas \u00e0 partager vos identifiants et que l\u2019application a un acc\u00e8s restreint au v\u00e9hicule. Cela vous permet d\u2019utiliser les fonctionnalit\u00e9s sans que le programme ne puisse faire quoi que ce soit de dangereux, comme ouvrir les porti\u00e8res. Ces applications sont plus ou moins s\u00fbres mais peu nombreuses.<\/p>\n
La plupart des applications pour voitures connect\u00e9es vous demandent d\u2019utiliser les m\u00eames identifiants (nom d\u2019utilisateur et mot de passe) que ceux du constructeur. Autrement dit, ces applications ont un acc\u00e8s complet \u00e0 votre compte. D\u2019autre part, les r\u00e8gles de s\u00e9curit\u00e9 qui s\u2019appliquent aux constructeurs automobiles ne concernent pas ces applications tierces, et c\u2019est l\u00e0 que les ennuis commencent.<\/p>\n
La confiance avant tout<\/h2>\n L\u2019\u00e9tude se concentre principalement sur les applications mobiles tierces qui se servent du compte que le propri\u00e9taire du v\u00e9hicule a cr\u00e9\u00e9 pour le constructeur. Malheureusement, plus de la moiti\u00e9 des d\u00e9veloppeurs d\u2019applications ne communiquent pas les risques encourus lorsque le compte est transf\u00e9r\u00e9. Ceux qui avertissent les utilisateurs affirment qu\u2019ils ne vont pas conserver les identifiants ou qu\u2019ils vont les stocker dans un format chiffr\u00e9. Certains soulignent que le nom d\u2019utilisateur et le mot de passe ne sont n\u00e9cessaires que pour obtenir un jeton d\u2019autorisation. Pourtant, un jeton autorise n\u2019importe qui \u00e0 utiliser votre compte en votre nom, tout comme vos identifiants, et le jeton pourrait \u00eatre divulgu\u00e9 s\u2019il n\u2019est pas conserv\u00e9 correctement. De plus, vous ne pouvez pas v\u00e9rifier comment vos identifiants sont g\u00e9r\u00e9s\u00a0: soit vous faites confiance aux d\u00e9veloppeurs, soit vous n\u2019utilisez pas l\u2019application.<\/p>\n
De plus, les d\u00e9veloppeurs de 14 % des applications que nos chercheurs ont \u00e9tudi\u00e9es ont montr\u00e9 qu\u2019il \u00e9tait impossible de les contacter en cas de probl\u00e8me. Les coordonn\u00e9es n\u2019apparaissent pas sur leur site ou redirigent vers des pages qui ont \u00e9t\u00e9 supprim\u00e9es des r\u00e9seaux sociaux.<\/p>\n
La situation est similaire avec les services Web\u00a0: l\u2019utilisateur fournit ses identifiants sans vraiment savoir comment ils sont stock\u00e9s et trait\u00e9s. Les solutions open source sont plus transparentes dans ce sens\u00a0: les utilisateurs technophiles peuvent au moins \u00e9tudier le code. Pourtant, cette t\u00e2che s\u2019av\u00e8re extr\u00eamement difficile pour n\u2019importe quel utilisateur sans connaissances techniques.<\/p>\n
Un autre probl\u00e8me est que les syst\u00e8mes du constructeur automobile et les applications tierces sont connect\u00e9s par des services interm\u00e9diaires. Ils sont utilis\u00e9s par les d\u00e9veloppeurs des applications automobiles et des services Web, mais ce peut \u00eatre un point que les utilisateurs ignorent. Vous devez comprendre que si l\u2019application automobile tierce que vous avez choisie fonctionne avec un service interm\u00e9diaire, les d\u00e9veloppeurs des deux programmes vont recevoir vos identifiants.<\/p>\n
Des applications tierces ont acc\u00e8s \u00e0 votre voiture : quels sont les risques ?<\/h2>\n Si vos identifiants ne sont pas stock\u00e9s en lieu s\u00fbr, des intrus peuvent y avoir acc\u00e8s. Ils ne pourront pas voler votre voiture mais ils pourront contr\u00f4ler divers syst\u00e8mes \u00e0 distance\u00a0: porti\u00e8res et vitres, climatisation, chauffage, klaxon, phares, etc. Si un intrus commence \u00e0 klaxonner ou \u00e0 jouer avec les phares pendant que vous conduisez, ce peut \u00eatre d\u00e9sagr\u00e9able, voire dangereux.<\/p>\n
Cela ressemble \u00e0 l\u2019intrigue d\u2019un James Bond\u00a0: qui voudrait s\u2019en prendre \u00e0 vous d\u2019une telle fa\u00e7on, avec une m\u00e9thode si complexe\u00a0? Si ces donn\u00e9es sont divulgu\u00e9es sur le domaine public, les farceurs du monde entier pourraient y avoir acc\u00e8s sur Internet et beaucoup pourraient s\u2019en servir pour s\u2019amuser sans vraiment penser aux cons\u00e9quences.<\/p>\n
De plus, si une application est pirat\u00e9e, les cybercriminels auront acc\u00e8s \u00e0 toutes les donn\u00e9es recueillies, y compris celles de g\u00e9olocalisation. Ces derni\u00e8res peuvent \u00eatre utilis\u00e9es pour suivre les d\u00e9placements du propri\u00e9taire du v\u00e9hicule, et ce depuis n\u2019importe o\u00f9 dans le monde.<\/p>\n
Voici un exemple r\u00e9cent. Il n\u2019y a pas si longtemps, David Colombo, un expert en s\u00e9curit\u00e9 de 19 ans, a accidentellement d\u00e9couvert<\/a> une vuln\u00e9rabilit\u00e9 dans l\u2019application TeslaMate quant \u00e0 la collecte, le stockage et la visualisation des donn\u00e9es t\u00e9l\u00e9m\u00e9triques des v\u00e9hicules Tesla. Il a r\u00e9ussi \u00e0 savoir o\u00f9 les propri\u00e9taires du v\u00e9hicule vivaient, o\u00f9 ils se rendaient et \u00e0 quelle vitesse, o\u00f9 les voitures \u00e9taient gar\u00e9es, o\u00f9 ils les mettaient \u00e0 charger et quelles mises \u00e0 jour ils avaient install\u00e9es.<\/p>\nM\u00eame si l\u2019application n\u2019a \u00e9t\u00e9 con\u00e7ue que pour recueillir des donn\u00e9es, et non pour contr\u00f4ler la voiture, Colombo a r\u00e9ussi \u00e0 le faire. Tout cela parce que le lieu de stockage o\u00f9 se trouvaient les identifiants des propri\u00e9taires \u00e9taient accessibles avec le mot de passe par d\u00e9faut, alors que certaines informations pouvaient \u00eatre obtenues sans aucune autorisation. Colombo a signal\u00e9 le probl\u00e8me aux d\u00e9veloppeurs de l\u2019application qui l\u2019ont r\u00e9solu assez rapidement. M\u00eame si cette histoire s\u2019est bien termin\u00e9e, elle montre que les applications automobiles tierces pourraient ne pas \u00eatre aussi fiables que ce que les d\u00e9veloppeurs disent.<\/p>\n
Devrai-je arr\u00eater d\u2019utiliser une application tierce ?<\/h2>\n Tout cela va sans dire que vous ne devriez jamais utiliser une application tierce. Tous les d\u00e9veloppeurs ne sont en aucun cas indiff\u00e9rents \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es des utilisateurs. Comme nous l\u2019avons vu, les cr\u00e9ateurs de TeslaMate ont r\u00e9agi assez rapidement lorsqu\u2019on leur a signal\u00e9 la vuln\u00e9rabilit\u00e9 et ont corrig\u00e9 le bug. Et, comme nous l\u2019avons dit, certaines applications n\u2019ont pas besoin d\u2019acc\u00e9der compl\u00e8tement au compte que vous avez cr\u00e9\u00e9 pour le constructeur automobile.<\/p>\n
Cela \u00e9tant dit, si vous voulez utiliser certaines fonctionnalit\u00e9s absentes dans l\u2019application officielle du v\u00e9hicule, faites attention. Choisissez, si possible, l\u2019application d\u2019un d\u00e9veloppeur fiable qui ne cache pas ses coordonn\u00e9es et qui respecte le concept de transparence. Lisez les rapports publi\u00e9s par les experts en s\u00e9curit\u00e9 et les avis laiss\u00e9s par les utilisateurs technophiles qui comprennent comment cela fonctionne et quels sont les risques.<\/p>\n
Si vous utilisez une application tierce mais souhaitez arr\u00eater, il convient de souligner qu\u2019une simple d\u00e9sinstallation de l\u2019application pourrait ne pas suffire\u2026<\/p>\n
\nV\u00e9rifiez si vous devez vous d\u00e9sabonner ou supprimer votre compte du service\u00a0;<\/li>\n Modifiez, juste au cas o\u00f9, le mot de passe du compte que vous avez cr\u00e9\u00e9 pour le constructeur automobile\u00a0;<\/li>\n R\u00e9voquez, si possible, tous les acc\u00e8s que l\u2019application a \u00e0 votre compte. Vous pouvez le faire depuis le site du constructeur ou via l\u2019assistance technique.<\/li>\n<\/ul>\nLa plupart des applications tierces pour voitures connect\u00e9es demandent \u00e0 avoir acc\u00e8s au compte que vous avez cr\u00e9\u00e9 pour le constructeur. Est-ce sans danger ?<\/p>\n","protected":false},"author":2477,"featured_media":18952,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686,1869],"tags":[379,552,841,770,967],"class_list":{"0":"post-18950","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-technology","9":"tag-applications","10":"tag-internet-des-objets","11":"tag-iot","12":"tag-voitures","13":"tag-voitures-connectees"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/automotive-apps-security\/18950\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/automotive-apps-security\/24209\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/automotive-apps-security\/19691\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/automotive-apps-security\/26535\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/automotive-apps-security\/24493\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/automotive-apps-security\/24844\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/automotive-apps-security\/27214\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/automotive-apps-security\/26744\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/automotive-apps-security\/33228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/automotive-apps-security\/10726\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/automotive-apps-security\/44425\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/automotive-apps-security\/19494\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/automotive-apps-security\/28754\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/automotive-apps-security\/25071\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/voitures\/","name":"voitures"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18950","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18950"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18950\/revisions"}],"predecessor-version":[{"id":18954,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18950\/revisions\/18954"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18952"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18950"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18950"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18950"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}