Autopartage : les hackers prennent le volant

Apparu en Russie en 2015, l’autopartage y a connu un boum fulgurant : Moscou est aujourd’hui la ville européenne disposant du plus grand nombre de voitures en libre-service.

Selon Maxim Liksoutov, responsable des transports à la mairie de Moscou, la capitale russe serait, avec 16 500 véhicules, le deuxième réseau de car-sharing au monde, derrière Tokyo (19 800 voitures). Elle vise même la première place pour 2020.

Il faut dire que le secteur, en développement exponentiel (11 500 voitures en 2018), bénéficie des largesses des autorités moscovites, tant au niveau des investissements (900 millions d’euros en cinq ans) que des infrastructures (coût du stationnement dix fois moins cher que pour les véhicules privés). Aujourd’hui, treize entreprises – toutes russes – se partagent le marché dans la capitale, dominé par les 7 000 véhicules de Yandex.Drive, la filiale du géant russe de l’internet Yandex. L’autopartage se développe également peu à peu dans d’autres villes du pays : Saint-Pétersbourg, Sotchi, Ekaterinbourg, Novossibirsk, Oufa, Toula…

Trafic d’identités

Les services d’autopartage doivent en partie leur succès à leur simplicité d’utilisation. Il suffit, pour créer un compte, de télécharger une application mobile, de fournir le scan de son permis de conduire et de se prendre en photo avec une pièce d’identité. La procédure d’authentification, automatisée, prend moins d’un quart d’heure. Ensuite, il ne reste plus qu’à entrer son numéro de carte bancaire pour louer une voiture.

Selon le site spécialisé carsharik.ru, 20 % des conducteurs russes ne roulent pas sous leur vrai nom.

Revers de la médaille, l’identité de l’usager n’étant pas vérifiée à chaque course, les fraudes s’accumulent. Au début de l’année, Le Courrier de Russie rapportait le palmarès des pièces détachées les plus volées (des balais d’essuie-glace aux sièges passagers). Depuis quelques mois, les autorités s’inquiètent de l’augmentation des usurpations et falsifications de comptes. Selon le site spécialisé carsharik.ru, 20 % des conducteurs russes ne roulent pas sous leur vrai nom.

Cas le plus fréquent : l’utilisation, par des personnes sans permis, du compte d’un proche. Il s’agit généralement de mineurs « empruntant » celui de leurs parents. Les identifiants et mots de passe d’utilisateurs, obtenus par des pirates informatiques, font également l’objet d’un commerce illicite intéressant particulièrement les conducteurs sous le coup d’une suspension de permis. Prix du délit : entre 40 et 100 euros. Son avantage : puisqu’il s’agit de comptes actifs, ils sont déjà associés à une carte bancaire, automatiquement débitée du prix de la course…

L’entreprise BelkaCar est présente à Moscou et à Sochi. Crédit : Evgenia Novozhenina / RIA Novosti

Enfin, les hackers s’ingénient à ouvrir de faux comptes à partir de données collectées sur internet. « Le vol de données a souvent lieu avec la complicité involontaire des victimes elles-mêmes. Ainsi, certains établissements louches, spécialisés dans le microcrédit, revendent celles de leurs clients qui leur confient naïvement des copies de toutes sortes de documents », déplore la porte-parole de la plateforme Delimobil, Aliona Balakireva.

Ces comptes créés de toutes pièces s’échangent sur le Darknet (la partie d’internet non référencée par les moteurs de recherche usuels) entre 150 et 200 euros. Argument mis en avant par les vendeurs : l’impunité en cas d’infraction du code de la route.

Une affaire récente résume le problème. En avril 2019, à Moscou, une Mercedes de location percute un véhicule dont le conducteur est tué sur le coup. La plaque d’immatriculation de la Mercedes ayant été enregistrée par une caméra de surveillance, la police consulte les fichiers de la société d’autopartage et, quelques jours plus tard, arrête une jeune femme. Problème : cette dernière n’utilise pas ce genre de service et affirme n’avoir jamais eu de compte. En revanche, elle a récemment acheté à crédit un téléphone chez un revendeur. Quant à la photo de son permis de conduire, elle l’a publiée sur Instagram le jour de sa réussite à l’examen…

Délits de fuite

Sur les six premiers mois de 2019, deux mille accidents de la route ont impliqué des voitures en libre-service, faisant dix morts et des centaines de blessés. La police constate également une hausse des délits de fuite. « Le sentiment d’impunité que confère l’usurpation d’identité est total. Ces conducteurs anonymes sont d’autant plus dangereux qu’ils ne viennent pas en aide aux victimes », s’indigne un enquêteur pour lequel les coupables sont tout trouvés : les mineurs et les personnes suspendues de permis pour conduite en état d’ivresse.

Le renouvellement obligatoire des mots de passe permettrait de couper l’herbe sous le pied des trafiquants.

« Au début, les entreprises d’autopartage exigeaient la signature d’un contrat de service et des photocopies des papiers d’identité de leurs clients. Le choix du tout numérique – fait pour des raisons évidentes de marketing – se justifie si on part du principe que tous les utilisateurs respectent les règles… », souligne Leonid Antonov, représentant de l’Association des automobilistes de Moscou. Pour lui, les applications d’autopartage devraient être accessibles à partir du portail des services municipaux (où chaque Russe dispose d’un compte et procède notamment au paiement de certains services publics), « un des sites les plus sécurisés du pays ».

Pour les usurpations d’identité, la solution est simple : « Il suffit d’installer un système de reconnaissance faciale dans les voitures », poursuit M. Antonov. Une mesure coûteuse à mettre en place, qui ne manquerait pas d’être répercutée sur les tarifs.

Accusées de laxisme et appelées à faire la chasse aux faux comptes, les entreprises d’autopartage ont commencé à agir. Certaines envisagent par exemple la mise en place d’une double authentification par SMS. Le renouvellement obligatoire des mots de passe à intervalles réguliers permettrait aussi de couper l’herbe sous le pied des trafiquants. Enfin, plusieurs ont d’ores et déjà cessé d’accepter les photos pré-enregistrées : lors de l’inscription, les conducteurs sont désormais obligés de se photographier « en direct » au moyen de leur caméra.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *