L’application iPhone d’Uber a eu un accès secret à de puissantes fonctionnalités d’Apple, permettant à l’application de l’entreprise américaine de VTC de pouvoir potentiellement enregistrer l’écran et avoir accès à d’autres informations personnelles à l’insu des utilisateurs.
L’existence de cette porte dérobée à des fonctionnalités spéciales de l’iPhone n’a pas été révélée dans la description de l’Application d’Uber, malgré le fait qu’elles auraient permis à l’entreprise d’avoir accès à des fonctionnalités tellement puissantes qu’Apple ne les laisse jamais à la portée d’autres entreprises tierces.
À ce stade, il n’y a pas de preuves tangibles qui montrent qu’Uber a exploité cet accès pour tirer avantage de ces fonctionnalités de l’iPhone, mais cette porte dérobée soulève malgré tout des questions sur l’entreprise de VTC qui est déjà impliquée dans de nombreux scandales et investigations sur ses pratiques commerciales.
Uber a informé Business Insider que le code dans l’application qui permet cet accès n’est pas utilisé actuellement et qu’il constitue surtout une trace qui remonte à une ancienne version de l’application destinée à l’Apple Watch. De leur côté, les experts de sécurité s’alarment en raison de l’existence d’une telle fonctionnalité sans prévenir les utilisateurs.
« Octroyer un tel privilège à une partie tierce est du jamais vu à ma connaissance, aucun autre développeur d’applications n’a été en mesure de convaincre Apple de lui attribuer des privilèges pour permettre à leurs applications d’accéder à certaines fonctionnalités spéciales du système, » a dit Will Strafach, un chercheur en sécurité qui a découvert l’existence de cette porte dérobée.
Comment ça marche ?
Presque toute application de l’iPhone utilise ce qui est appelé “entitlement” — qui constitue un moyen pour les applications d’avoir accès à des fonctionnalités comme la caméra ou Apple Pay sur les iPhone et iPad. La plupart de ces fonctionnalités peuvent être trouvées et activées facilement par les développeurs tiers.
Mais il y a certaines fonctionnalités qui sont réservées à Apple, qui permettent aux applications de la firme d’être mieux intégrées avec l’iPhone. Ces privilèges sont marqués par des noms qui commencent par “com.apple.private,” et ils sont considérés comme étant sensibles ; Apple rejette presque toujours tout développeur tiers de l’App Store si jamais il les utilise.
Après avoir fouillé dans le code de l’application d’Uber, Strafach a découvert qu’elle utilise une fonctionnalité appelée “com.private.allow-explicit-graphics-priority.”
« Il est étrange de voir qu’Uber est la seule application (j’ai vérifié des dizaines de milliers d’autres applications en utilisant la base de données interne de mon entreprise qui est issue de l’App Store) à côté des autres applications d’Apple à avoir accès à cette fonctionnalité sensible, » a dit Strafach dans un email. Une autre source a confirmé qu’aucune autre application du top 200 des applications gratuites de l’App Store n’exploite ces privilèges du système d’Apple.
Uber a informé qu’elle a reçu la permission d’Apple pour utiliser ce privilège, l’entreprise a pu l’exploiter dans une version antérieure de l’application destinée à l’Apple Wach afin de pouvoir afficher les cartes sur l’iPhone. Toutefois, cette fonctionnalité n’est plus utilisée, a dit l’entreprise.
Selon une représentante d’Uber, Apple aurait donné cette permission à Uber en raison de l’incapacité de l’Apple Watch à manipuler de façon adéquate le niveau de rendu de cartes dans l’application Uber. Toutefois, des mises à jour ultérieures de la smartwatch d’Apple et de l’application ont enlevé cette dépendance et l’entreprise travaille toujours avec Apple afin de supprimer cette API une fois pour toutes.
Selon le chercheur en sécurité Thomas Jansen, Uber a eu la possibilité d’enregistrer l’écran de l’utilisateur sans le prévenir, c’est pourquoi Apple ne permet pas à toute entreprise d’avoir accès à ce genre de fonctionnalités. La firme de Cupertino n’a pas commenté sur l’affaire, mais une raison pour laquelle elle aurait décidé d’octroyer ce privilège à Uber est de s’assurer que l’application du service de VTC soit présentée sur scène lors du lancement de l’Apple Watch en 2015, en effet, Uber a fait partie du lot des applications lancées avec la smartwatch.
Uber : une histoire mouvementée
Cette découverte fait polémique en raison de l’histoire mouvementée d’Uber, l’entreprise n’a pas daigné par le passé à mettre en place des tactiques et techniques qui ne respectent pas la loi et l’éthique du travail. Pour ne citer que ces derniers, Uber aurait manipulé les données de navigation pour reverser moins aux chauffeurs et faire payer plus aux passagers. L’entreprise a admis également avoir utilisé des techniques de machine learning pour augmenter ses tarifs pour certains clients dans certaines villes des États-Unis. Et elle a eu recours à des techniques de data mining pour duper les forces de l'ordre dans les villes où son service a été banni.
Les déboires d’Uber ne se sont pas arrêtés là, puisque l’entreprise avait mis en place un système permettant d'identifier des iPhone qui avaient été réinitialisés et/ou qui avaient vu l'application Uber désinstallée puis réinstallée, une manœuvre de détection de fraude qui enfreint les règles de confidentialité d’Apple.
Uber est allé jusqu'à modifier le logiciel pour s'assurer que quiconque accédant à Uber depuis le siège d'Apple verrait une version différente de l'application, c’est-à-dire sans ces portions de code qui lui permettaient de faire ces repérages, en utilisant une pratique dite de géoblocage.
Apple ayant découvert le pot aux roses, son PDG s’est chargé de rappeler durement à son homologue que cela enfreignait les règles de confidentialité de l'App Store. « Donc, j'ai entendu dire que vous ne respectiez pas certaines de nos règles », aurait dit Tim Cook à Travis Kalanick, menaçant ce dernier de la plus lourde sanction sur l’App Store : la suppression de l’application Uber du portail de téléchargement.
La réunion de Tim Cook avec Kalanick a probablement eu lieu au début de 2015, durant la même période de lancement de l’Apple Watch.
« Je pense qu’il existe une sorte de relation extrêmement spéciale, si on considère qu’Apple leur a accordé de façon exclusive l’accès à une API IOKit privilégiée alors qu’ils étaient en train d’abuser d’autres API IOKit tout en violant les règles de l’App Store (sans répercussions du tout), » a ajouté Strafach.
Malgré leur différend, le PDG d’Uber a continué à voir et se réunir avec Tim Cook, des documents liés à une poursuite judiciaire montrent qu’une réunion a eu lieu en mai 2016. Apple est devenu un investisseur d’Uber suite à son investissement dans l’entreprise chinoise Didi Chuxing. En 2016, Didi a fusionné avec la filiale chinoise d’Uber.
Kalanick n’est plus le PDG d’Uber. Le PDG actuel de l’entreprise, Dara Khosrowshahi n’a pas toujours adressé en public la relation de son entreprise avec Apple, mais il a parlé de la culture de l’entreprise qui consiste à contourner les règles. Un changement récent dans iOS a empêché Uber de collecter des données sur la localisation de l’utilisateur sans indicateur visuel.
Source : Business Insider
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Uber : la justice américaine aurait lancé une enquête criminelle contre la société, suite à l'utilisation d'un logiciel pour échapper aux autorités
Uber poursuivi en justice pour invasion illégale de la vie privée des chauffeurs de Lyft avec son programme de surveillance Hell
Uber : Apple a permis à l'entreprise de bénéficier d'une porte dérobée afin d'enregistrer l'écran de l'iPhone
Sans informer les utilisateurs
Uber : Apple a permis à l'entreprise de bénéficier d'une porte dérobée afin d'enregistrer l'écran de l'iPhone
Sans informer les utilisateurs
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !