AccueilÉDITO

Le "God Mode" ou quand les employés d'Uber peuvent espionner leurs clients

Publié le

par Thibault Prévost

Une enquête révèle que les employés d'Uber ont librement accédé aux données d'utilisateurs du service de VTC pour espionner des célébrités, des politiques ou leur ex.

© Freestocks.org/Flickr

Encore une fois, on apprend que les employés d'Uber jouent les démiurges. Après deux scandales similaires en 2014, l'entreprise de VTC est à nouveau accusée de négligence en matière de protection des donnés personnelles de ses utilisateurs. Dans une enquête publiée le 13 décembre, le Center for Investigative Reporting (CIR) fait parler d'anciens employés d'Uber, qui révèlent un laxisme incroyable de l'entreprise en matière de sécurité des données personnelles. Pire, cette fois-ci, un autre ex-employé accuse Uber d'entrave à la justice.

Selon les témoignages compilés par l'enquête du CIR et plus particulièrement celui de Ward Spangenberg, ancien employé à la sécurité informatique de l'entreprise, "des milliers" d'employés d'Uber auraient toujours librement accès au "God View" (ou "God Mode", le mode de Dieu), un niveau de privilège permettant d'accéder en temps réel à toutes les données personnelles d'un utilisateur ayant eu recours au service de VTC (adresses personnelle et professionnelle, heure des déplacements, coordonnées, etc..).

Deux précédents, pas de changements

Une option privée et discrète que les responsables de l'entreprise utiliseraient comme une attraction pour divertir leurs invités lors de soirées, comme le révélait Forbes en 2014. La même année, Buzzfeed révélait qu'un responsable de l'entreprise, mécontent d'un article paru sur le site, s'était servi de cet outil pour traquer les déplacements d'une des journalistes. À l'époque des faits, Uber avait annoncé des changements en interne, sans rien préciser ; selon Ward Spangenberg, l'entreprise aurait simplement renommé l'option "Heaven Mode" et viré quelques-uns de ses employés un peu trop gourmands avec l'espionnage – "moins de 10", assure l'entreprise au CIR.

Selon le CIR, cependant, rien n'a concrètement été fait pour protéger les utilisateurs. Les employés doivent désormais s'engager à ne pas  abuser de l'outil, mais Uber n'a mis aucun système de contrôle en place. Et si les scandales de 2014 ne concernaient que des utilisations très spécifiques du système, cette fois-ci, selon l'enquête du CIR, l'échelle des abus est bien plus importante : les employés d'Uber espionneraient tout simplement qui bon leur semble – leurs ex, des politiques ou  des célébrités, dont Beyoncé – sans jamais avoir à demander la permission à leurs supérieurs. Un scandale de plus, alors que l'entreprise vient de lancer une nouvelle version de son application qui lui permet désormais de suivre les utilisateurs après que leur trajet est terminé.

Chiffrement à distance lors des perquisitions

Aussi grave qu'il soit, ce scandale d'espionnage d'utilisateurs n'est pourtant pas le plus dangereux pour Uber. À l'inverse, la plainte déposée par Ward Spangenberg pour discrimination et harcèlement contre un lanceur d'alerte, point de départ de l'enquête du CIR, contient des déclarations bien plus ennuyeuses, dans lesquelles Ward Spangenberg détaille des pratiques d'entrave à la justice. Il aurait en effet reçu l'ordre de chiffrer le contenu d'ordinateurs de l'entreprise à distance à l'occasion de perquisitions, afin que les services de police n'aient pas accès aux données contenues. En 2005, le fisc québécois en a fait les frais, voyant tous les ordinateurs et téléphones portables de l'entreprise redémarrer lors de la perquisition. Selon la cour supérieure de Montréal, l'initiative revêtait "toutes les caractéristiques d'une tentative d'entrave à la justice."

Contactée par The Verge, l'entreprise a rejeté les accusation de son ancien employé et réaffirmé que l'utilisation de l'outil "God View" était soumise à l'approbation d'un manager : "Il est absolument faux de dire que 'tous' ou 'presque tous' les employés d'Uber  ont accès aux donnés des clients", explique-t-elle. Cependant, d'autres ex-responsables de la sécurité de l'entreprise contactés par le CIR, comme Michael Sierchio, semblent abonder dans le sens de Ward Spangenberg. Et celui-ci de conclure : "Les seules informations dont j'ai senti quelles étaient en sécurité chez Uber sont celles de votre carte bancaire. Parce qu'elles ne sont pas stockées par Uber." Rassurant.

À voir aussi sur konbini :