Les méthodes de fingerprinting utilisées par Uber ne violeraient plus les règles de confidentialité d'Apple
Tim Cook aurait menacé d'expulser Uber de l'App Store pour fraude,
l'application VTC pistait les utilisateurs en dépit des règles de confidentialité d'Apple
Si Uber faisait déjà face aux critiques, les révélations du New York Times sur un épisode avec Apple ne vont pas redorer son blason. Le quotidien révèle qu’en 2015, le PDG d’Apple, Tim Cook, recevait son homologue chez Uber, Travis Kalanick, au siège d’Apple pour lui parler d’une découverte faite par un de ses employés sur une stratégie d’Uber qui était loin de réjouir l’éditeur d’iOS.
En effet, le quotidien rapporte que pendant des mois, Uber avait mis en place un système permettant d'identifier des iPhone qui avaient été réinitialisés et/ou qui avaient vu l'application Uber désinstallée puis réinstallée, une manœuvre de détection de fraude qui enfreint les règles de confidentialité d’Apple.
Uber est allé jusqu'à modifier le logiciel pour s'assurer que quiconque accédant à Uber depuis le siège d'Apple verrait une version différente de l'application, c’est-à-dire sans ces portions de code qui lui permettaient de faire ces repérages, en utilisant une pratique dite de géoblocage.
Apple ayant découvert le pot aux roses, son PDG s’est chargé de rappeler durement à son homologue que cela enfreignait les règles de confidentialité de l'App Store. « Donc, j'ai entendu dire que vous ne respectiez pas certaines de nos règles », aurait dit Tim Cook à Travis Kalanick, menaçant ce dernier de la plus lourde sanction sur l’App Store : la suppression de l’application Uber du portail de téléchargement.
Kalanick avait vite fait de peser la situation : dans le cas où Apple cessait de distribuer l'application Uber, la start-up perdrait l'accès à des millions de clients extrêmement précieux. Aussi, pour éviter cette décision qui aurait été totalement désastreuse pour son activité, Uber aurait mis fin à la pratique à la suite de la rencontre entre les deux hommes.
Apple empêche les développeurs d'identifier des iPhone spécifiques pour des raisons de confidentialité, arguant qu'un téléphone qui a été réinitialisé et revendu ne devrait pas avoir de lien avec son ancien propriétaire. À cette fin, en 2012, la société a cessé de permettre aux applications de son App Store d'accéder à des informations telles qu’"Unique Device Identifier" (UDID) et des informations d'identification similaires.
Cependant, évoquant le désir d'éviter un type particulier de fraude en Chine où des chauffeurs peu scrupuleux ont en effet commencé à acheter des iPhone volés pour créer de faux comptes clients et se commander ainsi des courses à eux-mêmes afin d’extorquer de l’argent à l’entreprise, Uber a demandé à ses ingénieurs d’intégrer à l’application un code permettant de générer une empreinte numérique unique qui resterait sur le terminal même si l’application venait à être désinstallée. Uber assure s’être autorisé à contourner les règles mises en place par Apple à cette fin.
D’ailleurs, un porte-parole d'Uber a fait la déclaration suivante : « Nous ne surveillons pas la localisation d'utilisateurs individuels s'ils ont effacé l'appli. Comme l'article du New York Times le souligne à la fin, c'est une méthode habituelle pour éviter que des fraudeurs téléchargent Uber sur un téléphone volé, l'associent à une carte de crédit volée, fassent une course très chère et puis effacent les données — et recommencent. Des techniques similaires sont utilisées pour détecter et bloquer des connexions suspectes afin de protéger les comptes de nos utilisateurs. Pouvoir identifier des acteurs malfaisants connus quand ils essaient de revenir sur notre réseau est une mesure de sécurité importante pour Uber et nos utilisateurs ».
Selon le chercheur en sécurité Will Strafach, qui a analysé une version de l'application d'Uber de 2014 suite à ces révélations, l’entreprise s’est servie d’une portion de code normalement exclusive à Apple lui-même pour retirer les numéros de série de l'iPhone du système d'exploitation de l'appareil. Ces numéros de série restent les mêmes, même si tout le reste de l'appareil est effacé et réinstallé avec un nouveau compte d'utilisateur. Même si Uber n'avait pas été détecté par Apple, la technique ne fonctionne plus sur la version la plus récente d'iOS : les applications ne peuvent plus découvrir le numéro de série de cette manière.
Source : New York Times, Will Strafach
Mise à jour du 25 / 04 / 2017 : les méthodes de fingerprinting utilisées par Uber ne violeraient plus les règles de confidentialité d'Apple, selon un porte-parole du service VTCC
Un porte-parole d'Uber a déclaré qu'Uber utilise encore certaines méthodes de fingerprinting pour lutter contre la fraude, mais que les méthodes actuellement utilisées sont conformes aux politiques d'Apple. Voici sa déclaration complète : « Je ne peux pas partager tous les détails sur les signaux que nous utilisons, autrement cela va donner aux fraudeurs des indices sur les pistes à explorer pour contourner ces contrôles, mais la politique d'Apple n'interdit pas complètement le fingerprinting de dispositifs. Il précise simplement quels identifiants peuvent être collectés à partir de l'appareil, éléments qui sont utilisés par notre équipe en combinaison avec des signaux non liés aux périphériques pour détecter une activité frauduleuse et des connexions suspectes.
La réunion mentionnée dans l'histoire de New York s'est produite avant d'engager notre premier chef de la sécurité à la mi-2015 et avant de centraliser toutes les activités de sécurité dans une seule organisation. Sous ce leadership, nous sommes conformes à la politique d'Apple depuis un certain temps ».
Voir aussi :
Hell : Uber aurait eu recours à un programme développé en interne pour espionner les chauffeurs de son grand rival Lyft
Répondre avec citation
Partager