Developpez.com

Plus de 14 000 cours et tutoriels en informatique professionnelle à consulter, à télécharger ou à visionner en vidéo.

Tim Cook aurait menacé d'expulser Uber de l'App Store pour fraude
L'application VTC pistait les utilisateurs en dépit des règles de confidentialité

Le , par Stéphane le calme, Chroniqueur Actualités
Si Uber faisait déjà face aux critiques, les révélations du New York Times sur un épisode avec Apple ne vont pas redorer son blason. Le quotidien révèle qu’en 2015, le PDG d’Apple, Tim Cook, recevait son homologue chez Uber, Travis Kalanick, au siège d’Apple pour lui parler d’une découverte faite par un de ses employés sur une stratégie d’Uber qui était loin de réjouir l’éditeur d’iOS.

En effet, le quotidien rapporte que pendant des mois, Uber avait mis en place un système permettant d'identifier des iPhone qui avaient été réinitialisés et/ou qui avaient vu l'application Uber désinstallée puis réinstallée, une manœuvre de détection de fraude qui enfreint les règles de confidentialité d’Apple.

Uber est allé jusqu'à modifier le logiciel pour s'assurer que quiconque accédant à Uber depuis le siège d'Apple verrait une version différente de l'application, c’est-à-dire sans ces portions de code qui lui permettaient de faire ces repérages, en utilisant une pratique dite de géoblocage.

Apple ayant découvert le pot aux roses, son PDG s’est chargé de rappeler durement à son homologue que cela enfreignait les règles de confidentialité de l'App Store. « Donc, j'ai entendu dire que vous ne respectiez pas certaines de nos règles », aurait dit Tim Cook à Travis Kalanick, menaçant ce dernier de la plus lourde sanction sur l’App Store : la suppression de l’application Uber du portail de téléchargement.

Kalanick avait vite fait de peser la situation : dans le cas où Apple cessait de distribuer l'application Uber, la start-up perdrait l'accès à des millions de clients extrêmement précieux. Aussi, pour éviter cette décision qui aurait été totalement désastreuse pour son activité, Uber aurait mis fin à la pratique à la suite de la rencontre entre les deux hommes.

Apple empêche les développeurs d'identifier des iPhone spécifiques pour des raisons de confidentialité, arguant qu'un téléphone qui a été réinitialisé et revendu ne devrait pas avoir de lien avec son ancien propriétaire. À cette fin, en 2012, la société a cessé de permettre aux applications de son App Store d'accéder à des informations telles qu’"Unique Device Identifier" (UDID) et des informations d'identification similaires.

Cependant, évoquant le désir d'éviter un type particulier de fraude en Chine où des chauffeurs peu scrupuleux ont en effet commencé à acheter des iPhone volés pour créer de faux comptes clients et se commander ainsi des courses à eux-mêmes afin d’extorquer de l’argent à l’entreprise, Uber a demandé à ses ingénieurs d’intégrer à l’application un code permettant de générer une empreinte numérique unique qui resterait sur le terminal même si l’application venait à être désinstallée. Uber assure s’être autorisé à contourner les règles mises en place par Apple à cette fin.

D’ailleurs, un porte-parole d'Uber a fait la déclaration suivante : « Nous ne surveillons pas la localisation d'utilisateurs individuels s'ils ont effacé l'appli. Comme l'article du New York Times le souligne à la fin, c'est une méthode habituelle pour éviter que des fraudeurs téléchargent Uber sur un téléphone volé, l'associent à une carte de crédit volée, fassent une course très chère et puis effacent les données — et recommencent. Des techniques similaires sont utilisées pour détecter et bloquer des connexions suspectes afin de protéger les comptes de nos utilisateurs. Pouvoir identifier des acteurs malfaisants connus quand ils essaient de revenir sur notre réseau est une mesure de sécurité importante pour Uber et nos utilisateurs ».

Selon le chercheur en sécurité Will Strafach, qui a analysé une version de l'application d'Uber de 2014 suite à ces révélations, l’entreprise s’est servie d’une portion de code normalement exclusive à Apple lui-même pour retirer les numéros de série de l'iPhone du système d'exploitation de l'appareil. Ces numéros de série restent les mêmes, même si tout le reste de l'appareil est effacé et réinstallé avec un nouveau compte d'utilisateur. Même si Uber n'avait pas été détecté par Apple, la technique ne fonctionne plus sur la version la plus récente d'iOS : les applications ne peuvent plus découvrir le numéro de série de cette manière.

Source : New York Times, Will Strafach

Mise à jour du 25 / 04 / 2017 : les méthodes de fingerprinting utilisées par Uber ne violeraient plus les règles de confidentialité d'Apple, selon un porte-parole du service VTCC

Un porte-parole d'Uber a déclaré qu'Uber utilise encore certaines méthodes de fingerprinting pour lutter contre la fraude, mais que les méthodes actuellement utilisées sont conformes aux politiques d'Apple. Voici sa déclaration complète : « Je ne peux pas partager tous les détails sur les signaux que nous utilisons, autrement cela va donner aux fraudeurs des indices sur les pistes à explorer pour contourner ces contrôles, mais la politique d'Apple n'interdit pas complètement le fingerprinting de dispositifs. Il précise simplement quels identifiants peuvent être collectés à partir de l'appareil, éléments qui sont utilisés par notre équipe en combinaison avec des signaux non liés aux périphériques pour détecter une activité frauduleuse et des connexions suspectes.

La réunion mentionnée dans l'histoire de New York s'est produite avant d'engager notre premier chef de la sécurité à la mi-2015 et avant de centraliser toutes les activités de sécurité dans une seule organisation. Sous ce leadership, nous sommes conformes à la politique d'Apple depuis un certain temps ».

Voir aussi :

Hell : Uber aurait eu recours à un programme développé en interne pour espionner les chauffeurs de son grand rival Lyft


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 24/04/2017 à 18:02
Il y a bien d'autre méthode pour vérifier les comptes mais comme ça demande d'employer plusieurs personnes à temps plein pour les vérifications et comme ils sont pingre ça risque pas d'arriver
Avatar de GilbertLatranche GilbertLatranche - Membre actif https://www.developpez.com
le 24/04/2017 à 19:38
Avec toutes les magouilles qu'accumule cette boîte, elle n'a pas encore été dissoute ?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 25/04/2017 à 11:17
Le service antispam Unroll.me assure qu'il a « le cœur brisé » suite à la colère des utilisateurs,
qui ont appris qu'ils vendaient des données personnelles à Uber

Unroll.me est un service gratuit qui vise à vous permettre de faire le tri dans votre boîte de réception en vous permettant de vous désabonner des bulletins d’information que vous ne voulez pas ou de bloquer des messages promotionnels indésirables.

Seulement voilà : lorsque le New York Times a révélé que Tim Cook a menacé d’expulser l’application VTC Uber de l’App Store pour fraude, le quotidien a également indiqué que ce service (Unroll.me) a vendu des données personnelles à Uber, données dont il voulait se servir pour jauger son rival Lyft.

« Avec Kalanick (le PDG d’Uber) qui a donné le ton à Uber, les employés ont agi pour s'assurer que le service de VTC l’emporterait, peu importe le prix à payer. Ils ont dépensé une grande partie de leur énergie à évaluer des concurrents comme Lyft. Uber a consacré des équipes pour ce qu’il a qualifié de renseignement concurrentiel à l'achat de données auprès d'un service d'analyse appelé Slice Intelligence. S’appuyant sur un service de messagerie électronique qui s'appelle Unroll.me, Slice a recueilli des reçus Lyft envoyés par courrier électronique dans les e-mails d’utilisateurs et a vendu les données anonymes à Uber. Uber a utilisé les données comme proxy pour déterminer la santé des activités de Lyft (Lyft également exploite une équipe de renseignements à la concurrence) », peut-on lire sur l’article du New York Times.

« Slice a confirmé qu'il vend des données anonymes (ce qui signifie que les noms des clients ne sont pas joints) en fonction des reçus de course d'Uber et Lyft, mais a refusé de divulguer qui achète l'information », continue le quotidien.

Dans un billet de blog, l’entreprise a très vite réagi par le biais de son cofondateur Jojo Hedaya qui a déclaré que cela lui « fend le coeur de voir comment certains utilisateurs étaient mécontents de voir la façon dont nous finançons notre service gratuit ». « Bien sûr, nous avons un contrat d’utilisation du service et une politique de confidentialité en anglais clair que nos utilisateurs déclarent avoir lu et compris avant même de s'inscrire, mais la réalité est que la plupart d'entre nous, moi inclus, ne prenons pas le temps de les lire en profondeur », a-t-il reconnu.

En faisant un tour du côté de cette politique, nous pouvons lire (l’emphase est la nôtre) :

« Nous pouvons collecter, utiliser, transférer, vendre et divulguer des informations non personnelles à quelque fin que ce soit. Par exemple, lorsque vous utilisez nos services, nous pouvons recueillir des données à partir des “messages électroniques commerciaux” et des “messages transactionnels ou relationnels” (tel que ces termes sont définis dans la Loi CAN-SPAM (15 USC 7702 et s. ) qui sont envoyés à vos comptes de messagerie. Nous collectons ces messages transactionnels commerciaux afin de mieux comprendre le comportement des expéditeurs de ces messages et de mieux comprendre le comportement de nos clients et d'améliorer nos produits, nos services et notre publicité. Nous pouvons divulguer, distribuer, transférer et vendre ces messages et les données que nous recueillons à partir de ces messages à condition que, si nous divulguons ces messages ou données, toutes les informations personnelles contenues dans ces messages soient supprimées avant toute divulgation.

Nous pouvons collecter et utiliser vos messages transactionnels commerciaux et les données associées pour créer des produits et des services de recherche de marché anonymes avec des partenaires commerciaux fiables. Si nous combinons des informations non personnelles avec des informations personnelles, les informations combinées seront traitées comme des informations personnelles pour autant qu'elles restent combinées ».

Quoi qu’il en soit, Heyada a indiqué qu’il comprend que des messages plus clairs doivent être postés sur le site web du service. « Je ne peux pas assez souligner l'importance de votre vie privée. Nous ne publions jamais de données personnelles sur vous. Toutes les données sont complètement anonymes et ne concernent que les achats », a-t-il promis .

Source : New York Times, blog Unroll.me

Et vous ?

Qu'en pensez-vous ? Véritable mea culpa ou aveu déguisé ?

Voir aussi :

Uber poursuivi en justice pour invasion illégale de la vie privée des chauffeurs de Lyft, avec son programme de surveillance Hell
Uber aurait enregistré une perte de 2,8 milliards de dollars en 2016, malgré un chiffre d'affaires de 6,5 milliards de dollars
Avatar de Vulcania Vulcania - Membre actif https://www.developpez.com
le 25/04/2017 à 13:34
Mais ils s'imaginaient quoi ? Bien évidemment que les gens sont pas content, d'autant plus que le service proposé n'a rien à voir avec Uber ! Pis surtout pour une entreprise qui a une réputation de plus en plus mauvaise d'exploitants inhumains !
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 26/04/2017 à 6:19
Et Apple, le "grand défenseur de la vie privée" n'a pas jugé utile de virer toute cette magouille de leur store ?
Pas assez médiatisé ? Trop d'argent en jeu ?
Offres d'emploi IT
Expert Technico Fonctionnel Sharepoint H/F
Safran - Ile de France - Corbeil (91)
Ingénieur conception électrique / électronique H/F
Safran - Ile de France - Villaroche
Responsable de lot / architecte fpga H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil