Autres articles
-
Une étude suggère un lien entre certains émulsifiants et un risque de diabète
-
Un changement social expliquerait la chute de la population masculine au Néolithique
-
Un remède pour les chamans, une drogue pour le Mexique
-
Au Royaume-Uni, les pénuries de médicaments atteignent des sommets
-
Une étude pointe les risques élevés des antipsychotiques utilisés en cas de démence
C’est un énième scandale qui frappe Uber depuis hier. Le New-York Times révèle que le service de mise en relation avec un chauffeur a pisté les possesseurs d’iPhone jusqu’au début de l’année 2015, y compris lorsque ces derniers supprimaient l’application. Une pratique qui aurait pris fin avec la convocation de son PDG Travis Kalanick par Tim Cook. « J’ai entendu dire que vous enfreignez certaines de nos règles », aurait alors lancé le patron d’Apple, menaçant de retirer Uber de l'App Store. Kalanick aurait aussitôt mis son application en conformité pour ne pas perdre les millions de possesseurs d'iPhone.
Uber se serait servi d'une technique de fingerprint tracking qui permet de générer une empreinte numérique unique pour chaque utilisateur, afin de l’identifier et de le suivre sans passer par des cookies. A l'origine, il s'agissait de lutter contre les tentatives de fraudes courantes dans certains pays comme la Chine. Certains conducteurs tentent effectivement d'enregistrer plusieurs comptes Uber sur des iPhones volés, afin d'augmenter artificiellement leur nombre de courses et obtenir ainsi des bonus.
Comme le rappelle TechCrunch, Apple avait autorisé les développeurs à suivre leurs utilisateurs jusqu’en 2013 avec un identifiant unique : l’UDID (Unique Device Identifier). Le dispositif avait ensuite été remplacé par une solution moins intrusive et Uber aurait alors dû abandonner son dispositif.
L’expert en sécurité Will Strafach a scruté les lignes de code d’une version de l’application datant de 2014, à la demande de TechCrunch. Selon lui, Uber aurait utilisé le numéro de série des périphériques pour les identifier. Toutefois, il tient à clarifier les choses. Il ne s'agissait pas tant de tracker un périphérique après la désinstallation. Mais plutôt entre la désinstallation et la réinstallation de l’application.
Par ailleurs, cette technique serait devenue impossible à exploiter avec l'arrivée des bacs à sable dans la version 9 d'iOS, le système d’exploitation mobile d’Apple sorti en septembre 2015.
Même s'il ne s'agissait pas d'espionner les clients, Uber a maintenu cette pratique au-delà de 2013 en contrevenant sciemment aux règles d'utilisation d'Apple. Pire, l'entreprise a tenté de camoufler la situation. On apprend effectivement qu'elle avait mis en place un système de géolocalisation des ingénieurs d'Apple travaillant au siège de Cupertino pour les empêcher de fouiller dans l'application. Ce qui n'a pas empêché ces derniers de découvrir le pot aux roses en enquêtant depuis des bureaux excentrés.
Uber reconnaît les faits
Uber ne tente même pas de nier ces allégations. La société se contente aujourd’hui de répliquer que le tracking est courant dans son secteur d’activité et qu'elle continue aujourd'hui à y avoir recours en conformité avec les règles d'utilisation d'Apple. « C’est un moyen classique d’empêcher les fraudeurs de télécharger Uber sur un smartphone volé et de réinstaller l’application encore et encore. Nous utilisons des techniques similaires pour détecter et bloquer les connexions douteuses pour protéger les comptes de nos utilisateurs », a déclaré un porte-parole d'Uber à TechCrunch.
Cette révélation n’est pas vraiment une surprise, tant la direction d’Uber a adopté une attitude qui flirte en permanence avec la légalité depuis son lancement en 2009, ne s’embarrassant ni d’éthique ni de respect de la loi.
Uber se serait servi d'une technique de fingerprint tracking qui permet de générer une empreinte numérique unique pour chaque utilisateur, afin de l’identifier et de le suivre sans passer par des cookies. A l'origine, il s'agissait de lutter contre les tentatives de fraudes courantes dans certains pays comme la Chine. Certains conducteurs tentent effectivement d'enregistrer plusieurs comptes Uber sur des iPhones volés, afin d'augmenter artificiellement leur nombre de courses et obtenir ainsi des bonus.
Comme le rappelle TechCrunch, Apple avait autorisé les développeurs à suivre leurs utilisateurs jusqu’en 2013 avec un identifiant unique : l’UDID (Unique Device Identifier). Le dispositif avait ensuite été remplacé par une solution moins intrusive et Uber aurait alors dû abandonner son dispositif.
L’expert en sécurité Will Strafach a scruté les lignes de code d’une version de l’application datant de 2014, à la demande de TechCrunch. Selon lui, Uber aurait utilisé le numéro de série des périphériques pour les identifier. Toutefois, il tient à clarifier les choses. Il ne s'agissait pas tant de tracker un périphérique après la désinstallation. Mais plutôt entre la désinstallation et la réinstallation de l’application.
Par ailleurs, cette technique serait devenue impossible à exploiter avec l'arrivée des bacs à sable dans la version 9 d'iOS, le système d’exploitation mobile d’Apple sorti en septembre 2015.
Même s'il ne s'agissait pas d'espionner les clients, Uber a maintenu cette pratique au-delà de 2013 en contrevenant sciemment aux règles d'utilisation d'Apple. Pire, l'entreprise a tenté de camoufler la situation. On apprend effectivement qu'elle avait mis en place un système de géolocalisation des ingénieurs d'Apple travaillant au siège de Cupertino pour les empêcher de fouiller dans l'application. Ce qui n'a pas empêché ces derniers de découvrir le pot aux roses en enquêtant depuis des bureaux excentrés.
Uber reconnaît les faits
Uber ne tente même pas de nier ces allégations. La société se contente aujourd’hui de répliquer que le tracking est courant dans son secteur d’activité et qu'elle continue aujourd'hui à y avoir recours en conformité avec les règles d'utilisation d'Apple. « C’est un moyen classique d’empêcher les fraudeurs de télécharger Uber sur un smartphone volé et de réinstaller l’application encore et encore. Nous utilisons des techniques similaires pour détecter et bloquer les connexions douteuses pour protéger les comptes de nos utilisateurs », a déclaré un porte-parole d'Uber à TechCrunch.
Cette révélation n’est pas vraiment une surprise, tant la direction d’Uber a adopté une attitude qui flirte en permanence avec la légalité depuis son lancement en 2009, ne s’embarrassant ni d’éthique ni de respect de la loi.
