Réussir une jolie API REST avec de belles réponses en JSON, penser à faire de l'HTTPS, et oublier l'authentification, c'est quand même dommage...
En prime l'API en elle-même fournit déjà tellement d'information : le VIN est un identifiant unique du véhicule c'est une hérésie de l'utiliser en direct, et il aurait fallu passer les paramètres dans le body HTTP pour qu'ils soient chiffrés par HTTPS (quit à être moins RESTfull).
Les constructeurs automobiles vont vraiment devoir se muscler à ce niveau là, c'est une telle machinerie quand les pièces doivent être prêtes à partir en usine qu'il faut vraiment être costaud pour avoir le temps de penser à tout dans le temps imparti et avec toutes les contraintes métiers.