Fingerprinting : en 2015, Apple a failli expulser Uber de l’App Store
Le feu par le feu
Le 25 avril 2017 à 14h30
5 min
Société numérique
Société
Le New York Times a révélé qu’en 2015, la tension aurait été particulièrement palpable entre Uber et Apple. En cause, un comportement de l’application, qui se serait amusée à collecter des informations matérielles uniques sur les iPhone utilisés, une action normalement interdite par les conditions de l’App Store.
Dans un très long article publié par le New York Times et consacré à Travis Kalanick, PDG d’Uber, on apprend que l’entreprise a failli voir son application expulsée de l’App Store en 2015.
Si l’on en croit le New York Times pourtant, c’est l’attitude d’Uber et le manque de respect de son PDG pour les règles qui ont amené Tim Cook, patron d’Apple, à demander un rendez-vous avec Kalanick. Du côté d’Apple, on avait eu vent en effet de certaines pratiques dans l’application mobile qui auraient dû lui valoir – normalement – une expulsion pure et simple.
La chasse aux informations matérielles
Qu’est-ce qui était reproché à l’application Uber ? De chercher à collecter le maximum d’informations matérielles uniques, notamment le numéro de série. Un type de données que les règles de publication dans l’App Store du système mobile interdisent formellement de récupérer.
Ce n’est toutefois pas ce qui a déclenché la colère de Tim Cook si l’on en croit le journal. Travis Kalanick aurait en effet passé une consigne spécifique : faire en sorte qu’Apple ne découvre pas cette récupération. Comment ? En se servant de la position géographique de l’utilisateur pour désactiver la collecte si l’application détectait qu’elle était ouverte depuis le quartier général de la pomme, à Cupertino en Californie (geofencing).
Toujours selon nos confrères, ce n’est que parce qu’un autre groupe de testeurs Apple a ouvert l’application hors du fameux Campus que ce fonctionnement particulier a été découvert. D’où la convocation de Tim Cook.
L’arrêt ou le départ
Lors de l’entretien, le PDG d’Apple aurait imposé un ultimatum à Uber : stopper immédiatement la récupération des données ou assumer un rejet de l’App Store. L’application avait été téléchargée par des millions de personnes sur la plateforme mobile, et Travis Kalanick ne voulait prendre aucun risque.
Décision a donc été prise très rapidement d’obéir à l’injonction de Cook et de rentrer dans les clous. On soulignera à ce sujet que d’autres éditeurs plus petits n’auraient certainement pas eu cette deuxième chance. Mais l’application connaissant un énorme succès, la supprimer aurait probablement créé un fossé de disponibilité avec Android.
Point important, il n’est aujourd’hui plus possible d’aller récupérer des informations comme l’UDID (Unique Device Identifier) ou le numéro de série de l’appareil. iOS 10 a coupé les ponts, bloquant toute récupération par les éditeurs tiers. L’idée était bien entendu de rompre tout contact entre ces données et d’autres informations plus personnelles, qui auraient assuré un lien indélébile de suivi des utilisateurs. Sur des appareils ayant subi un jailbreak cependant, la situation peut être différente.
Les raisons d’Uber : la lutte contre la fraude
La grande question était bien entendu de savoir pourquoi Uber cherchait absolument à récupérer ces informations, et ce qu’elle en faisait.
Le New York Times donne la réponse, qui a d’ailleurs été en partie confirmée par la suite à d’autres par l’entreprise. Uber souhaitait en finir avec un type de fraude bien particulier. Certains chauffeurs se faisaient en effet payer des courses fictives, grâce à des iPhone volés ou achetés au rabais.
La création de dizaines d’adresses emails permettrait d’ouvrir autant de comptes sur Uber en tant que conducteurs. Des demandes de trajets étaient alors effectuées avec des associés, Uber rémunérant ensuite les conducteurs en fonction de ces trajets. Le phénomène était accentué en Chine, et par une politique de l’entreprise, qui cherchait à augmenter le nombre de courses.
Le fingerprinting en question
Le fingerprinting est l’ensemble des techniques qui permettent à une application ou un site web d’identifier des utilisateurs. En temps normal, les informations collectées sont liées au matériel, et leur conjonction permet de retrouver de manière plus ou moins fiable l'un d'eux, le plus souvent pour assurer le suivi des publicités basées sur les habitudes de surf en ligne.
Ars Technica, interrogeant Uber sur les techniques utilisées, a d’ailleurs obtenu une réponse partielle. L’entreprise confirme l’entretien de 2015 (sauf son contenu), et qu’elle suit à la lettre les directives d’Apple désormais, mais souligne que ce dernier n’interdit pas formellement le fingerprinting. Ce qu’elle interdit, c’est bien la récupération d’identifiants uniques dans l’iPhone. Rien n’empêche l’éditeur, en théorie, de parvenir à créer une empreinte.
Au sujet des conditions imposées par l’App Store, Uber considère qu'« elles stipulent simplement les identifiants pouvant être collectés à partir de l’appareil, afin d’être combinés par nos équipes avec d’autres signaux afin de détecter une activité frauduleuse et des authentifications suspicieuses ».
Fingerprinting : en 2015, Apple a failli expulser Uber de l’App Store
-
La chasse aux informations matérielles
-
L’arrêt ou le départ
-
Les raisons d’Uber : la lutte contre la fraude
-
Le fingerprinting en question
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/04/2017 à 14h48
Pffff, dégager l’app du store aurait été préjudiciable à apple certes, mais c’est quand même dégueulasse de ne pas l’avoir fait. Et ça aurait fait les pieds à uber, qui cumule les débordements.
Le 25/04/2017 à 14h53
Les raisons d’Uber : la lutte contre la fraude
en fraudant
Le 25/04/2017 à 17h08
Le 25/04/2017 à 19h05
Le 25/04/2017 à 19h27
on l’attribue plus volontiers à Gandhi, habituellement " />
(bon en vrai c’est Picasso mais il l’avait peut-être piquée à quelqu’un d’autre)
Le 27/04/2017 à 12h48