Uber collecte vos données de géolocalisation même hors de la voiture !

L’an dernier, Uber nous donnait les grandes lignes concernant sa nouvelle politique de confidentialité, et comment il s’autorisait à avoir accès de manière systématique à nos données de géolocalisation, et ce même après avoir quitté le taxi. En effet, Uber peut ainsi nous suivre lorsque nous entrons dans des commerces, traversons la rue, ou encore nous nous rendons à un rendez-vous chez le médecin, et ce même si l’application ne fait que fonctionner en tâche de fond.

A présent, avec la dernière mise à jour de l’application (la version 3.222.4), Uber a mis ce pistage en pratique, et suit votre géolocalisation constamment, si vous avez l’application active en tâche de fond. De plus, l’application vous demande systématiquement de partager votre carnet d’adresses. Mais jusqu’à présent Uber s’est contenté de collecter vos données de géolocalisation, uniquement si l’application était ouverte.

Lorsque Uber a annoncé le changement de sa politique en mai l’an dernier, il a engendré le mécontentement d’à peu près tous ceux préoccupés par la confidentialité, sans parler de la Federal Trade Commission (l’ Electronic Privacy Information Center a déposé plainte auprès de la FTC à propos de ce changement).

Comme l’a noté l’EPIC dans sa plainte, lorsque Uber a annoncé ce changement en Mai 2015, il avait déclaré que le suivi de ses passagers en temps réel et l’accès à leurs carnets d’adresses étaient simplement pour préparer “d’éventuelles nouvelles formes d’utilisation” des données de ses clients.

Ce changement avait pour but “d’orienter les utilisateurs plus rapidement”, a déclaré Uber. En l’état, l’application Uber sur les téléphones sous iOS, Android et Windows ne pouvait rechercher uniquement les données de géolocalisation si cette dernière était ouverte, créant parfois d’ailleurs un léger décalage au niveau du temps de réponse.

Selon Uber, la plupart des communications entre les chauffeurs et leurs clients se résumaient à “Où êtes-vous” ? » et d’autres variantes : du temps perdu et une certaine confusion qui peuvent être éliminés en géolocalisant le client plus précisément.

Concernant à présent le suivi des clients après avoir quitté le taxi, la compagnie a mis en avant des raisons de sécurité : si vous traversez la rue, cela signifie que le chauffeur ne vous a pas déposé à l’endroit précis demandé, et le fait de devoir traverser la rue représente un risque d’accident potentiel.

Et concernant l’accès aux contacts présents dans le carnet d’adresses des utilisateurs ? Uber a déclaré que cela était lié à la possibilité de partager la course avec d’autres clients.

Sommes-nous tous des grenouilles dans une marmite d’eau chaude ?

Est-ce que le problème ici est qu’Uber augmente tout doucement la température de l’eau de la marmite dans laquelle se trouvent ses grenouilles, en d’autres mots, ses clients, pour éviter qu’ils ne se rendent compte de l’impact réel sur leurs vies privées ?

Mais les utilisateurs d’Uber n’ont-ils jamais été préoccupés par la protection de leurs vies privées dès le départ ?

Ce n’est pas comme si ces utilisateurs n’avaient jamais exprimé leurs craintes face aux dérives de cette collecte de données sans limite. L’Electronic Privacy Information Center a d’ailleurs fourni une quantité importante de commentaires dans sa plainte, comme ceux qui ont suivi l’annonce faite l’an dernier :

Whaou. Avant d’en savoir plus, j’ai tout de suite effacé l’application Uber et je ne l’utiliserai plus. C’est dommage elle marchait vraiment bien.

Ceci est vraiment effrayant. Uber veut désormais vous suivre en permanence.

Ces données peuvent être très utiles pour les services de police, le FBI, la NSA, les hackers, etc.

A présent, le changement à venir au niveau de la politique de confidentialité d’Uber signifie tout simplement que je vais devoir arrêter d’utiliser leur service. Je ne veux pas être suivi, et je veux encore moins donner une quelconque permission à Uber pour avoir accès à mes contacts. Si mes contacts veulent utiliser Uber, ils n’ont qu’à créer un compte Uber de leur côté. Je ne veux pas être à l’origine de la mise en danger la confidentialité de mes proches et de mes amis. Ainsi, je vais très bientôt dire adieu à Uber. Cela a été très pratique pendant tout ce temps. La seule alternative pour moi à présent est d’acheter ma propre voiture.

L’historique d’Uber en la matière nous préoccupe fortement. La plainte déposée par l’EPIC contient une chronologie détaillée au sujet de son passé, avec pas mal de hauts et de bas, incluant notamment l’utilisation d’un outil appelé “God View“, pour suivre ses chauffeurs. Une faille de sécurité causée par Uber lui-même, qui avait exposé des centaines de noms de chauffeurs, des numéros de sécurité sociale, des photos de permis de conduire, des déclarations de revenus, ainsi que d’autres informations sensibles. De plus, rajoutons l’incapacité à signaler auprès des chauffeurs cette faille, et ce pendant de longs mois, la récupération des données personnelles d’une journaliste (à deux reprises) et le suivi de ses mouvements sans sa permission, et ainsi de suite, la liste est longue.

Entre-temps, Uber a été confronté à des problèmes de réglementations aux quatre coins de la planète, et a dû faire face à des protestations dans certaines villes, allant de Londres à Paris, en passant par Varsovie et Melbourne, entre d’autres.

Que va t-il donc se passer pour ses clients qui ne seront pas sortis à temps de la marmite ?

Il existe des législateurs et des services de police qui ont déjà essayé de stopper Uber. En janvier, le procureur général de New York a diligenté une enquête concernant la faille de sécurité. La conséquence : Uber doit à présent chiffrer les données de géolocalisation de ses clients et adopter une authentification multi-facteurs avant qu’un employé puisse obtenir un accès, en particulier à des données personnelles sensibles.

Uber a également été pris à partie par le sénateur américain Al Franken, à propos de certains comportements et propos anti-journalistes.

Quoi faire ?

L’application Uber fonctionnera sans accès automatique à vos contacts ou à votre géolocalisation, mais bien évidemment obtenir et partager des courses avec Uber ne sera plus aussi pratique, si vous refuser en bloc l’accès à toutes ces données.

Sur iOS, vous devez activer l’option de partage de vos contacts et de votre géolocalisation. Sur Android, vous devez désactiver ces dernières. D’une manière générale nous vous recommandons de ne pas accepter les paramètres par défaut.

Etant donné l’historique d’Uber, nous pensons qu’il est plus prudent de :

1. Décider le niveau de partage que vous voulez mettre en place avec Uber
2. De vous rendre dans les réglages concernant la confidentialité relatifs à l’application Uber, et de vous assurer que les réglages activés reflètent vos décisions prises au point 1).

Bien sûr, ces conseils restent valables pour n’importe quelle application : même si vous pensez que les réglages par défaut vous conviennent parfaitement, vérifiez tout de même que les réglages en place sont ceux que vous voulez vraiment.

Enfin, avant de conclure, lorsqu’une mise à jour est disponible, que ce soit pour l’application ou pour le système d’exploitation de votre téléphone, n’oubliez pas de vérifier de nouveau les réglages dans le cas où une nouvelle politique de confidentialité change les paramètres par défaut, sans que vous le sachiez forcément.

Enfin, rappelez-vous : en cas de doute, ne partagez rien !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Uber collecte vos données de géolocalisation même hors du taxi ! :
Billet inspiré de Uber now collecting location data even after you leave a driver’s car, par Lisa Vaas, Sophos NakedSecurity.