Thèmes
Services
Accueil > Applications à distance pour ...
FR
FR DE IT EN

Applications à distance pour véhicules - Sont-elles sûres ?

Les "applications à distance" pour les véhicules sont à la mode. Grâce à elles, il est possible de lire en temps réel sur les smartphones et les tablettes de nombreuses données dites informatives sur le véhicule, comme le kilométrage, le niveau de carburant, les intervalles d'entretien, la pression des pneus, etc. Mais ces applications permettent également d'accéder au véhicule pour le contrôler. Il s'agit entre autres de verrouiller et de déverrouiller le véhicule, de fermer et d'ouvrir les fenêtres.

Rédaction - 10 mai 2018
Les "applications à distance" pour les véhicules sont à la mode. Grâce à elles, il est possible de lire sur les smartphones et les tablettes de nombreuses données dites informatives sur le véhicule. Mais ces applications permettent également d'accéder au véhicule à des fins de contrôle. © Depositphotos/prykhodov

De telles fonctions sont certes confortables, mais elles peuvent attirer l'attention des criminels. La sécurité informatique est donc cruciale. Le TCS et ses clubs partenaires ont donc soumis trois apps distantes (BMW, VW, Renault) à un test dit de pénétration. En principe, les trois apps de BMW, Renault et VW examinées sont sûres et ne présentent pas de problèmes majeurs. Risques utilisables dans le futur. Néanmoins, l'alerte ne peut pas être levée complètement et en soi : Les trois applications présentent différentes faiblesses qui doivent être considérées comme un risque moyen et qui peuvent, dans des cas extrêmes, conduire à un accès étranger au compte de l'utilisateur et à la commande de toutes les fonctions à distance. Les vulnérabilités suivantes ont été découvertes dans le cadre de l'enquête :

Base de données non cryptée

Renault My Z.E. stocke des données sensibles dans une base de données non cryptée sur le smartphone. Cela permet aux pirates, dans certaines conditions, de lire des données telles que le numéro d'identification du véhicule (FIN) et un code d'activation, avec lesquels le pirate peut enregistrer le véhicule à son nom.

Absence de spinning de certificat

De plus, la connexion entre Renault My Z.E. et VW Car-Net et le cloud correspondant peut être interceptée et modifiée dans certaines circonstances. Cela est particulièrement facile pour un pirate si certaines fonctions de sécurité sont désactivées sur l'appareil de l'utilisateur.

Informations de connexion dans l'URL

L'application BMW Connected communique avec plusieurs points d'accès dans le cloud. Pour que l'utilisateur ne doive se connecter qu'une seule fois à l'application, les informations de connexion sont d'abord converties. Malheureusement, une méthode non sécurisée a été choisie pour la transmission de ces informations d'identification converties, de sorte qu'un compte peut éventuellement être pris en charge par un pirate ou que des informations sensibles peuvent être stockées dans les fichiers journaux du fournisseur, où elles peuvent être consultées par des utilisateurs administratifs.

Politique de mot de passe faible

En outre, l'application BMW Connected met en œuvre une politique de mot de passe faible. La longueur du mot de passe est limitée à un minimum de huit caractères et limite également la quantité de caractères spéciaux. Cela minimise la force possible du mot de passe, ce qui permet à un pirate de deviner plus facilement les mots de passe en les essayant (ce que l'on appelle le bruteforcing). Les mots de passe simples comme "abcd1234" sont également autorisés. BMW bloque toutefois le compte d'utilisateur après quelques tentatives de connexion infructueuses, jusqu'à ce que celui-ci soit débloqué par un lien de messagerie.

Absence de fin de session

Les trois Apps ont en commun le fait qu'après une déconnexion, la session ne se termine pas correctement. Ainsi, un utilisateur ne peut pas simplement bloquer un attaquant qui a réussi.

Conclusion

Dans l'ensemble, les trois apps étaient utilisables en toute sécurité, mais quelques points faibles se sont tout de même manifestés. Cela montre clairement que les fabricants doivent continuer à travailler sur le thème de la sécurité informatique. Plus les services numériques sont riches en fonctionnalités, plus les exigences en matière de structures de sécurité sont importantes, ce qui devrait à l'avenir mettre encore plus l'accent sur le thème de la sécurité informatique.

Recommandations

  • Il devrait être possible de désactiver complètement le transfert de données dans le véhicule.
  • Les données collectées par le constructeur devraient être librement consultables par le propriétaire du véhicule.
  • Certaines fonctions, comme l'utilisation de l'avertisseur sonore, doivent être désactivées pendant la conduite pour des raisons de sécurité.
  • Il faut des directives plus strictes en matière de mots de passe.
  • Les critères de sécurité informatique doivent répondre à des normes de sécurité actuelles, idéalement avec une preuve neutre (par ex. Critères communs).

Conseils pour le consommateur

  • Il existe de grandes différences dans l'étendue des fonctions des services à distance, non seulement entre les fabricants, mais aussi entre les différents modèles et variantes d'équipement. En tant qu'acheteur, il est donc toujours nécessaire de vérifier au cas par cas les fonctions effectivement prises en charge.
  • Il convient d'utiliser des mots de passe aussi sûrs que possible - composés de lettres minuscules et majuscules, de chiffres, de caractères spéciaux et d'une longueur minimale de 12 caractères.

Texte : www.tcs.ch

(Visité 31 fois, 1 visites aujourd'hui)
h2> Plus d'articles sur le sujet

9 von 10 tödlichen Unfällen im Zusammenhang mit Alkohol werden von Männern verursacht

Sexuelle Belästigung am Arbeitsplatz: Neue Zahlen zeigen weiteren Handlungsbedarf

Salto Foundation fördert gesellschaftliche Entwicklung und soziale Inklusion

ACTUALITÉS SUR LA SÉCURITÉ

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Vous pouvez vous désinscrire à tout moment !
close-link