Cyber-assurance auto : une infraction virtuelle aux conséquences bien réelles

Par Natacha Vanryb, le 04 octobre 2016

Avec le Mondial de l’automobile, la voiture et ses nouveaux usages sont au cœur de l’actualité de ce début octobre. Quelles vont être les surprises et nouveautés technologiques que nous réservent les marques ? Derrière cette grand-messe de l’automobile, se cache une réalité bien plus concrète pour nous autres, automobilistes, que nous vous invitons à découvrir dans cet article.

Commençons par une mise en situation. Vous venez de faire l’acquisition de votre nouveau bolide : un Range Rover Evoque. Vous êtes ravi et écumez les routes au gré de vos week-ends. Seulement, vous êtes loin de vous douter que votre véhicule est particulièrement convoité : en 2015, c’est même le deuxième véhicule le plus volé en France ! Ce qui devait arriver finit par se produire et votre automobile disparait. C’est l’incompréhension qui domine : vous pensiez qu’avec ses systèmes embarqués de sécurité, votre véhicule serait bien moins facilement “subtilisable" qu’une Twingo ! Et pourtant…

Comment fonctionne l’électronique embarquée dans nos voitures ?

Pour comprendre un peu mieux les enjeux de la cybercriminalité automobile il faut d’abord s’intéresser à l’électronique embarquée. Depuis de nombreuses années, l’électronique trône dans les habitacles : lève-vitre électrique, Air bag, essuie-glace à détection de pluie, contrôleur de vitesse… Même si ces fonctionnalités offrent de nouvelles perspectives aux utilisateurs, à l'instar de la Tesla (dont notre test est à découvrir ici), elles ne sont pour autant pas sans risque. Ainsi, chacune d'entre elles est contrôlée par ce qu’on appelle un Electronic Control Units (ECU). Les ECUs sont en fait de petits ordinateurs qui contiennent un logiciel permettant d’analyser l’information provenant de capteurs, pour ensuite commander les dispositifs physiques. Chacun d’entre eux peut communiquer avec les autres via le Controller Area Network (CAN), qui les relie entres eux. Ce CAN est ensuite relié à une prise On Board Diagnostics (OBD), qui permet au garagiste de contrôler le bon fonctionnement des ECUs en se connectant à un ordinateur.

Pourquoi nos véhicules, si perfectionnés soient-ils, sont-ils hackables ?

Comme tous les ECUs communiquent entre eux, il suffit « simplement » de prendre le contrôle de l’un d’eux pour transmettre des indications aux autres et ainsi pirater l’ensemble du système. Pour évaluer le risque de piratage d’un véhicule, il faut tout d’abord identifier les ECUs pouvant servir de point d’entrée aux pirates.

La prise OBD représente également une faille très facile à exploiter. Complétement standardisée, elle permet aux pirates de se connecter directement sur tout le système et d’en prendre le contrôle. Néanmoins, cela nécessite en premier lieu d’être entré dans le véhicule.

Enfin, pour pénétrer à l’intérieur du véhicule, les systèmes « keyless » peuvent également facilement être exploités. Ces systèmes permettent d’ouvrir automatiquement les portes et de démarrer le véhicule lorsque la clé se trouve à proximité du véhicule. En utilisant un amplificateur d’ondes, il est alors possible de rendre la clé détectable, alors même que celle-ci se trouve bien rangée dans un tiroir de votre maison. Le pirate n’a plus qu’à tirer sur la poignée de la porte et presser le bouton Démarrer pour s’enfuir avec le véhicule.

L’évaluation du risque en cyber-assurance automobile : pas si facile…

Une fois la mauvaise nouvelle digérée, vous vous tournez vers votre assureur. Mais que faire ? Il n’y a pas d’effraction constatée. Vous découvrez avec étonnement que la technique utilisée pour vous dérober votre bien a été celle du « mouse-jacking », en d’autres termes le vol par ordinateur.

Dans ce contexte, il est probable que l’option cybersécurité automobile devienne l’atout majeur des offres d’assurance auto premium, pour servir des clients équipés de véhicules récents, prudents en matière de risques et qui seront des cibles privilégiées pour ces hackers.
Alexandre Veber
Manager chez PwC, spécialiste en tarification d’Assurance

Pour construire cette offre, il s’agira de bien comprendre les systèmes embarqués proposés par les différents constructeurs et d’effectuer une veille continue pour détecter rapidement les failles de sécurité. Il sera primordial de réaliser des rapprochements par système et non par marque puisque ces systèmes sont souvent fabriqués par des sous-traitants. Grâce aux nombreuses informations disponibles en ligne, la construction d’algorithmes devrait donc permettre d’automatiser ces analyses. Enfin, il faudra envisager de créer une expertise sinistre capable d’analyser les cyber-crimes mais aussi de les différencier de la fraude. Les assureurs pourront également s’équiper de services sinistres spécialisés permettant la localisation de véhicules volés, voire la reprise de contrôle de véhicules hackés. Un tel service conduirait à une meilleure satisfaction client, à une maîtrise de la charge sinistre et à une connaissance plus exhaustive du risque cybersécurité dans sa globalité.

Lorsque l’on sait qu’aujourd’hui, le préjudice lié à une voiture volée, puis retrouvée sans trace d’effraction, est considérée comme non-assurable voir frauduleux, le chemin à parcourir est encore long…

Le marché de la cyber-assurance : la révolution commence maintenant
Découvrez l’intégralité de l’étude qui présente les résultats d’une enquête réalisée en collaboration avec l’Ifop en septembre 2015.
Pour aller plus loin