{"id":18962,"date":"2022-06-01T15:40:05","date_gmt":"2022-06-01T13:40:05","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18962"},"modified":"2022-06-01T15:40:05","modified_gmt":"2022-06-01T13:40:05","slug":"flaws-in-connected-car-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/flaws-in-connected-car-apps\/18962\/","title":{"rendered":"Comment am\u00e9liorer les applications pour voitures connect\u00e9es"},"content":{"rendered":"<p>Les voitures connect\u00e9es offrent de nombreux avantages aux utilisateurs, surtout lorsqu\u2019il s\u2019agit d\u2019informations suppl\u00e9mentaires ou des fonctionnalit\u00e9s de contr\u00f4le \u00e0 distance. Pourtant, comme d\u2019habitude, les nouvelles opportunit\u00e9s sont souvent accompagn\u00e9es de nouvelles menaces. Certaines sont associ\u00e9es \u00e0 des applications et services con\u00e7us pour les propri\u00e9taires de voitures connect\u00e9es, et d\u00e9velopp\u00e9s par les constructeurs et des entreprises tierces. Nos coll\u00e8gues ont r\u00e9cemment \u00e9tudi\u00e9 plusieurs applications et services connus, et ont d\u00e9crit les principaux d\u00e9fauts en termes de s\u00e9curit\u00e9 des informations. Les r\u00e9sultats de cette \u00e9tude <a href=\"https:\/\/securelist.com\/third-party-automotive-app-security\/106538\/\" target=\"_blank\" rel=\"noopener\">ont \u00e9t\u00e9 publi\u00e9s sur notre blog Securelist<\/a>. Dans ce rapport, les failles des applications sont d\u00e9crites du point de vue de l\u2019utilisateur. Pourtant, les conclusions que nous pouvons en tirer devraient int\u00e9resser les d\u00e9veloppeurs de programmes.<\/p>\n<h2>Les failles les plus courantes des applications pour voitures connect\u00e9es<\/h2>\n<p>Un nombre important d\u2019applications est utilis\u00e9 comme lien interm\u00e9diaire entre le propri\u00e9taire et le service du constructeur automobile. Ces services exigent g\u00e9n\u00e9ralement l\u2019utilisation d\u2019un identifiant et d\u2019un mot de passe (ou d\u2019un jeton d\u2019autorisation). En d\u2019autres termes, le propri\u00e9taire du v\u00e9hicule donne virtuellement les cl\u00e9s de sa voiture au d\u00e9veloppeur du programme, et certains utilisateurs n\u2019en ont pas conscience. Nous avons expos\u00e9 les principales failles de ces applications.<\/p>\n<h3>Un manque de transparence<\/h3>\n<p>La confiance est le point le plus d\u00e9terminant dans cette relation entre les d\u00e9veloppeurs et les utilisateurs. Ainsi, il est extr\u00eamement important d\u2019informer clairement et explicitement l\u2019utilisateur que\u00a0:<\/p>\n<ul>\n<li>votre application utilise le compte client cr\u00e9\u00e9 \u00e0 l\u2019origine pour le service officiel\u00a0;<\/li>\n<li>vous ne conservez pas les identifiants de connexion (ou que vous les stockez mais qu\u2019ils sont chiffr\u00e9s)\u00a0;<\/li>\n<li>le jeton d\u2019autorisation vous donne acc\u00e8s \u00e0 certaines fonctionnalit\u00e9s du v\u00e9hicule\u00a0;<\/li>\n<li>l\u2019utilisateur accepte de prendre plus de risques en utilisant l\u2019application.<\/li>\n<\/ul>\n<h3>L\u2019absence d\u2019un canal de communication avec les d\u00e9veloppeurs<\/h3>\n<p>Les d\u00e9veloppeurs de programmes laissent souvent un canal de communication ouvert pour recevoir les commentaires des utilisateurs. Bien s\u00fbr, nous n\u2019avons jamais vu les auteurs d\u2019applications gratuites offrir une assistance technique 24 heures sur 24 et 7 jours sur 7. En revanche, les applications qui peuvent interf\u00e9rer avec les op\u00e9rations des voitures connect\u00e9es devraient au moins compter sur un moyen de communication pour faire face aux impr\u00e9vus, ne serait-ce que pour la s\u00fbret\u00e9 et la s\u00e9curit\u00e9 du v\u00e9hicule ou du conducteur.<\/p>\n<h3>Une interruption incorrecte de la coop\u00e9ration<\/h3>\n<p>Lorsqu\u2019un client d\u00e9sinstalle votre application, vous ne pouvez pas savoir pourquoi il l\u2019a fait. Peut-\u00eatre qu\u2019il n\u2019a plus besoin de vos services, ou qu\u2019il a envie de changer de dispositifs. S\u2019il s\u2019agit de la premi\u00e8re raison, vous devriez rappeler \u00e0 l\u2019utilisateur qu\u2019il devrait annuler son abonnement et \/ ou supprimer son compte. Il serait aussi souhaitable de lui conseiller de modifier le mot de passe dans le service du constructeur automobile ou de supprimer le jeton d\u2019autorisation. D\u2019une part, cela montre que vous prenez la s\u00e9curit\u00e9 de l\u2019utilisateur et la confidentialit\u00e9 de ses donn\u00e9es tr\u00e8s au s\u00e9rieux. D\u2019autre part, vous vous lib\u00e9rez de toute responsabilit\u00e9 inutile.<\/p>\n<h2>D\u2019autres conseils de s\u00e9curit\u00e9 pour votre application<\/h2>\n<p>Personne ne veut que son application ne puisse \u00eatre utilis\u00e9e pour s\u2019en prendre \u00e0 la voiture de l\u2019utilisateur. Ainsi, nos experts demandent aux d\u00e9veloppeurs d\u2019applications pour voitures connect\u00e9es d\u2019adopter d\u2019autres mesures de pr\u00e9caution pour ne pas compromettre leurs clients et leur entreprise. Voici quelques conseils pratiques\u00a0:<\/p>\n<ul>\n<li>Adoptez des <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/cloud-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solutions<\/a> qui peuvent s\u00e9curiser le processus de d\u00e9veloppement du programme lors de l\u2019ex\u00e9cution du contr\u00f4le de l\u2019application, rechercher des vuln\u00e9rabilit\u00e9s avant le d\u00e9ploiement, mettre en place une routine de contr\u00f4le en termes de s\u00e9curit\u00e9 des conteneurs et tester les capacit\u00e9s de protection face aux malwares.<\/li>\n<li>Mettez en place des <a href=\"https:\/\/www.kaspersky.fr\/mobile-security-sdk?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">m\u00e9canismes de s\u00e9curit\u00e9<\/a> dans l\u2019application.<\/li>\n<li>R\u00e9alisez plusieurs audits de s\u00e9curit\u00e9 des solutions cl\u00e9 en main avant de les lancer sur le march\u00e9.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Apr\u00e8s avoir analys\u00e9 de pr\u00e8s les applications pour voitures connect\u00e9es, nos experts ont d\u00e9tect\u00e9 plusieurs failles dans ces programmes.<\/p>\n","protected":false},"author":2581,"featured_media":18964,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[379,376,552,841,4285,770,967,4286],"class_list":{"0":"post-18962","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-applications","10":"tag-automobile","11":"tag-internet-des-objets","12":"tag-iot","13":"tag-services-de-securite","14":"tag-voitures","15":"tag-voitures-connectees","16":"tag-voitures-intelligentes"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/flaws-in-connected-car-apps\/18962\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/flaws-in-connected-car-apps\/24214\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/flaws-in-connected-car-apps\/19696\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/flaws-in-connected-car-apps\/26544\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/flaws-in-connected-car-apps\/24502\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/flaws-in-connected-car-apps\/24853\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/flaws-in-connected-car-apps\/27218\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/flaws-in-connected-car-apps\/33234\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/flaws-in-connected-car-apps\/10731\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/flaws-in-connected-car-apps\/44446\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/flaws-in-connected-car-apps\/19509\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/flaws-in-connected-car-apps\/25073\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/flaws-in-connected-car-apps\/30577\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/flaws-in-connected-car-apps\/30326\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/voitures-connectees\/","name":"voitures connect\u00e9es"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18962"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18962\/revisions"}],"predecessor-version":[{"id":18966,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18962\/revisions\/18966"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18964"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}