Les applications à distance ou « remote apps » pour véhicules sont à la mode. Elles permettent de lire en temps réel, via un smartphone ou une tablette, un grand nombre de données dites informatives sur la voiture ; comme le kilométrage, le niveau du réservoir d'essence, les intervalles entre les services, la pression des pneus, etc. Ces applications servent également à exercer certaines fonctions de commande comme le verrouillage et le déverrouillage des portes, ainsi que l'ouverture et la fermeture des fenêtres – un surcroît de confort, mais qui ouvre aussi un champ d'action aux criminels. C'est dire l'importance de la sécurité informatique. Le TCS et ses clubs partenaires ont donc soumis 3 applis à distance (BMW, VW et Renault) à un dit test de pénétration.
Les 3 applis offrent certes une sécurité d'utilisation suffisante dans l'ensemble, mais présentent tout de même quelques points faibles. Conclusion évidente: les constructeurs doivent continuer d'optimiser la sécurité informatique. La multiplication des fonctions et services numériques disponibles augmente aussi les exigences en termes de sécurité, si bien que le thème de la sécurité informatique jouera un rôle croissant à l'avenir.
Renault My Z.E. sauvegarde des données sensibles dans une banque de données non codée sur le smartphone. Cette faiblesse permet à un éventuel utilisateur malveillant de lire dans certaines conditions des données comme le numéro d'identification du véhicule et un code d'activation grâce auquel il peut enregistrer le véhicule à son nom.
En outre, la liaison entre Renault My Z.E. et VW Car-Net et le cloud peut, dans certaines conditions, être captée et modifiée. La tâche du pirate sera d'autant plus facile si l'utilisateur a désactivé certaines fonctions de sécurité sur son appareil.
L'appli BMW Connected communique avec plusieurs points terminaux du cloud. Pour permettre à l'utilisateur de ne s'enregistrer qu'une fois dans l'appli, les informations d'enregistrement sont d'abord modifiées. Malheureusement, le constructeur a choisi une méthode peu sûre pour la transmission de ces données d'enregistrement modifiées, de sorte que le compte peut éventuellement être piraté. Par ailleurs, des données sensibles sont stockées dans les fichiers de protocole du fournisseur, où des utilisateurs ayant qualité d'administrateurs peuvent les voir.
La directive implémentée dans l'appli BMW Connected pour régler le mot de passe est trop faible. La longueur du mot de passe est limitée à huit signes au maximum et le nombre de signes spéciaux est également restreint. La force du mot de passe en est réduite, de sorte que l'attaquant peut plus facilement découvrir le mot de passe par des tentatives (ledit « bruteforcing »). Même des mots de passe simples comme « abcd1234 » sont permis. BMW bloque cependant le compte d'utilisateur après plusieurs essais infructueux jusqu'à ce qu'il soit à nouveau libéré par un lien via courriel.
Les 3 applis ont en commun le point faible suivant: la séance n'est pas véritablement clôturée après le log-out. L'utilisateur ne peut donc pas simplement bloquer un pirate qui a réussi à s'infiltrer.