Il n'est plus étrange de penser que nos téléphones contrôlent les éléments les plus sensibles de notre vie, y compris les véhicules, principal mode de transport physique pour beaucoup d'entre nous. Sans parler d'autres éléments vitaux, contrôlés de la même manière, tels que des machines cruciales liées aux soins de santé ou des systèmes de transactions financières. Mais les véhicules contrôlés par des applications jouent un rôle particulier dans nos vies, car ils rendent beaucoup de choses physiquement possibles, ou non. 

Lorsque nous cherchons à démarrer notre véhicule, à verrouiller/déverrouiller ses portes ou à régler la climatisation, nous ne sommes généralement pas conscients, en tant que consommateurs, des retombées cybernétiques potentielles liées à l'utilisation d'une application pour contrôler certaines parties de notre véhicule. Mais les fabricants d'applications pour véhicules ont une liste impressionnante de risques à prendre en compte en 2024 pour garantir une sécurité maximale à leurs utilisateurs.

#1 La dernière liste de l'OWASP

Tout d'abord, l'OWASP a récemment publié le 2024 OWASP Mobile Top 10 récemment publiée rappelle que la sécurité des applications mobiles est une priorité absolue, en particulier pour les applications connectées à des appareils qui peuvent littéralement faire la différence entre la vie et la mort. Et, comme l'ont observé de nombreux points de vente, cette dernière mise à jour de la liste OWASP Mobile Top 10 a connu quelques changements notables.

Il est impératif que les fabricants d'applications pour véhicules s'assurent qu'ils se sont attaqués à l'ensemble des dix menaces énumérées dans le lien ci-dessus :

  • M1 : Utilisation inappropriée des justificatifs
  • M2 : Sécurité insuffisante de la chaîne d'approvisionnement
  • M3 : Authentification/autorisation non sécurisée
  • M4 : Validation insuffisante des entrées/sorties
  • M5 : Communication non sécurisée
  • M6 : Contrôles inadéquats de la protection de la vie privée
  • M7 : Protections binaires insuffisantes
  • M8 : Mauvaise configuration de la sécurité
  • M9 : Stockage de données non sécurisé
  • M10 : Cryptographie insuffisante

Récemment, Verimatrix a publié son dernier livre blanc sur la liste OWASP Mobile Top 10 qui sert de guide aux développeurs pour sécuriser, détecter et répondre aux menaces qui pèsent sur les applications mobiles. Consultez-le !

#2 Manipulation correcte des clés ainsi que les attaques par rejeu et relais

Vérifiez trois fois que la gestion des clés est correcte et qu'il existe une protection adéquate contre les attaques par rejeu et par relais, qui peuvent être dévastatrices à grande échelle pour les utilisateurs d'applications automobiles individuelles. Voici pourquoi : Les attaques par rejeu sont causées par des protocoles de procédure d'ouverture qui sont menés de manière incorrecte, permettant aux cybercriminels de capturer les chiffres réels nécessaires à l'ouverture d'une porte de voiture, par exemple. Tout aussi dangereuse, l'attaque par relais utilise un amplificateur entre l'application et le véhicule, ce qui permet aux activités malveillantes de se dérouler à une distance plus grande que jamais.

#3 Protéger les serveurs de l'entreprise

Protéger les serveurs de l'entreprise contre les attaques provenant de l'application mobile associée. La dernière chose dont un constructeur automobile a besoin est de créer involontairement un conduit à partir duquel les cybercriminels peuvent s'introduire dans les systèmes de l'entreprise. Cela peut conduire à un désastre, mais la presse n'en parle pas trop comme d'une voie d'accès potentiellement importante pour les cybercriminels.