Passer au contenu

Uber a traqué les utilisateurs d’iPhone

Le service a pisté jusqu’en 2015 les possesseurs de smartphones d’Apple, même lorsqu’ils supprimaient l’application. Son patron Travis Kalanick a mis fin à cette pratique sur injonction de Tim Cook.

C’est un énième scandale qui frappe Uber depuis hier. Le New-York Times révèle que le service de mise en relation avec un chauffeur a pisté les possesseurs d’iPhone jusqu’au début de l’année 2015, y compris lorsque ces derniers supprimaient l’application. Une pratique qui aurait pris fin avec la convocation de son PDG Travis Kalanick par Tim Cook. « J’ai entendu dire que vous enfreignez certaines de nos règles », aurait alors lancé le patron d’Apple, menaçant de retirer Uber de l’App Store. Kalanick aurait aussitôt mis son application en conformité pour ne pas perdre les millions de possesseurs d’iPhone.

Du fingerprint tracking pour lutter contre la fraude

Uber se serait servi d’une technique de fingerprint tracking qui permet de générer une empreinte numérique unique pour chaque utilisateur, afin de l’identifier et de le suivre sans passer par des cookies. A l’origine, il s’agissait de lutter contre les tentatives de fraudes courantes dans certains pays comme la Chine. Certains conducteurs tentent effectivement d’enregistrer plusieurs comptes Uber sur des iPhones volés, afin d’augmenter artificiellement leur nombre de courses et obtenir ainsi des bonus.
Comme le rappelle TechCrunch, Apple avait autorisé les développeurs à suivre leurs utilisateurs jusqu’en 2013 avec un identifiant unique : l’UDID (Unique Device Identifier). Le dispositif avait ensuite été remplacé par une solution moins intrusive et Uber aurait alors dû abandonner son dispositif.

L’expert en sécurité Will Strafach a scruté les lignes de code d’une version de l’application datant de 2014, à la demande de TechCrunch. Selon lui, Uber aurait utilisé le numéro de série des périphériques pour les identifier. Toutefois, il tient à clarifier les choses. Il ne s’agissait pas tant de tracker un périphérique après la désinstallation. Mais plutôt entre la désinstallation et la réinstallation de l’application.
Par ailleurs, cette technique serait devenue impossible à exploiter avec l’arrivée des bacs à sable dans la version 9 d’iOS, le système d’exploitation mobile d’Apple sorti en septembre 2015.

Même s’il ne s’agissait pas d’espionner les clients, Uber a maintenu cette pratique au-delà de 2013 en contrevenant sciemment aux règles d’utilisation d’Apple. Pire, l’entreprise a tenté de camoufler la situation. On apprend effectivement, qu’elle avait mis en place un système de géolocalisation des ingénieurs d’Apple travaillant au siège de Cupertino pour les empêcher de fouiller dans l’application. Ce qui n’a pas empêché des derniers de découvrir le pot aux roses en enquêtant depuis des bureaux excentrés.

Uber reconnaît les faits

Uber ne tente même pas de nier ces allégations. La société se contente aujourd’hui de répliquer que le tracking est courant dans son secteur d’activité et qu’elle continue aujourd’hui à y avoir recours en conformité avec les règles d’utilisation d’Apple. « C’est un moyen classique d’empêcher les fraudeurs de télécharger Uber sur un smartphone volé et de réinstaller l’application encore et encore. Nous utilisons des techniques similaires pour détecter et bloquer les connexions douteuses pour protéger les comptes de nos utilisateurs », a déclaré un porte-parole d’Uber à TechCrunch.

Cette révélation n’est pas vraiment une surprise, tant la direction d’Uber a adopté une attitude qui flirte en permanence avec la légalité depuis son lancement en 2009, ne s’embarrassant ni d’éthique ni de respect de la loi comme nous le rappelions il y a peu dans l’article Les Cinq plaies d’Uber.

Uber a aussi acheté des reçus de clients de son concurrent Lyft

Le même New-York Times avait déjà levé le voile au mois de mars dernier sur le logiciel Greyball permettant aux conducteurs de fouiller dans les données personnelles des clients pour éviter les contrôles policiers.
De son côté, BuzzFeed avait attiré l’attention en 2014 sur l’existence d’une faille de sécurité, God View, offrant l’opportunité aux cadres de l’entreprise d’espionner n’importe quel utilisateur.

Uber souffre, en outre, d’accusation de sexisme et des dérapages récurrents de son impulsif PDG Travis Kalanick. Pour couronner le tout, une campagne #DeleteUber prospère aux Etats-Unis depuis le mois de janvier depuis que son patron est accusé d’avoir voulu tirer profit des manifestations après le décret anti-immigration de Trump.

Et ça continue. Outre l’affaire des iPhone, le New-York Times a dévoilé hier qu’Uber avait fait appel à la société de renseignement Slice Intelligence pour acheter les reçus anonymisés des clients de son rival Lyft. Des documents récupérés via le service de messagerie électronique Unroll.me afin d’espionner les activités de son concurrent. Bon courage à Uber pour justifier ce dernier rebondissement.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Amélie Charnay