Uber est familier des polémiques en tout genre et l'une d'elles a valu à son patron, Travis Kalanick, des réprimandes de la part de Tim Cook. Le New York Times narrait hier que le service de VTC s'était fait prendre en flagrant délit d'infraction aux règles de présence sur l'App Store. Uber avait utilisé un moyen original pour masquer sa tricherie aux yeux des salariés en charge de la validation des apps.

C'est début 2015 que Kalanick, patron rentre-dedans et controversé, fut convoqué par Tim Cook. « J'ai appris que vous avez enfreint certaines de nos règles » lui a déclaré le patron d'Apple, raconte le New York Times. Cook exige de son interlocuteur qu'il cesse ces manœuvres ou l'application d'Uber serait retirée de l'App Store. Une catastrophe si cela devait se produire puisque toute l'activité d'Uber repose sur son app mobile.

L'astuce, qui avait mis Tim Cook en colère, avait été mise en place au début 2014. Elle consistait pour l'app d'Uber à extraire une donnée d'identification du téléphone. À l'époque, Uber était confronté à une épidémie de comptes frauduleux dans des endroits comme la Chine, où des filous achetaient des iPhone volés qui étaient effacés et revendus. Certains conducteur Uber, clients de ces téléphones, créaient alors des dizaines de comptes avec de fausses adresses email pour se commander plusieurs courses au moyen de cartes volées aussi. Dès lors qu'Uber encourage financièrement ses conducteurs à prendre le plus de commandes possibles, ils arrondissaient leurs fins de mois à moindre frais.

Le New York Times n'entre pas dans les détails techniques de la méthode utilisée par Uber pour récupérer l'identifiant d'un téléphone, ni quelle empreinte était exploitée. Cependant, le hacker Will Strafach a fouillé dans le code d'une version de l'app Uber datant de 2014. Il y a trouvé un appel à un framework privé d'iOS (pratique interdite aussi) pour lire le numéro de série du téléphone.

On peut supposer que ce numéro était stocké par Uber sur ses serveurs. À chaque fois qu'un compte Uber était activé sur un téléphone, son numéro de série était confronté à la base discrètement constituée. Si le numéro de série y figurait et que plusieurs commandes d'une voiture étaient émises avec des adresses différentes depuis le même iPhone, Uber pouvait y déceler une activité frauduleuse.

Le New York Times ajoute que pendant des mois Kalanick avait demandé à ses ingénieurs de faire en sorte que les personnes en charge de la validation des apps chez Apple ne puissent voir qu'un code non autorisé était utilisé dans l'app.

Plutôt que de désactiver l'exécution de ce code tout le temps où l'app était en validation et de le réactiver ensuite à distance, Uber avait procédé autrement. Son application utilisait le geofencing pour repérer si elle était lancée dans un périmètre géographique incluant le quartier général d'Apple en Californie. L'idée étant que les équipes de validation y étaient certainement installées. Apparement pas toutes puisque la supercherie a été finalement éventée.

Toujours d'après Will Strafach, cette méthode de collecte du numéro de série ne semble plus fonctionner depuis iOS 9. Quant à Uber, il a laissé entendre à TechCrunch qu'il n'a pas supprimé sa méthode pour identifier un iPhone mais qu'il l'a modifiée pour se mettre en conformité avec Apple.

Comme l'indique l'histoire du New York Times à la fin, c'est un moyen classique pour empêcher les fraudeurs d'installer Uber sur un téléphone volé, d'y associer une carte de crédit volée, de prendre une course à un tarif élevé puis d'effacer le téléphone et de recommencer encore et encore. Des techniques similaires sont également utilisées pour détecter et bloquer des connexions douteuses pour protéger les comptes de nos utilisateurs. Être capable de reconnaître des fraudeurs patentés lorsqu'ils tentent de revenir sur notre réseau est une mesure de sécurité importante pour Uber et nos utilisateurs

Autre précision, Uber assure ne pas suivre ses utilisateurs à la trace, même après que l'app a été supprimée d'un iPhone et celui-ci effacé. Techniquement cela semblait difficile sinon impossible à faire, mais une phrase dans la première version de l'article du New York Times — modifiée depuis — le laissait entendre.

Travis Kalanick a certainement senti le souffle du boulet le frôler ce jour là après sa discussion avec Tim Cook. Reste que l'absence de réaction visible de la part d'Apple, ou de mise en garde publique même à mots couverts, montre que les très grosses apps sur l'App Store profitent toujours d'une certaine tolérance en dépit de leurs agissements.