Même les individus qui évitent les services en ligne peuvent voir leurs vies affectées. Imaginez qu’un matin votre rue d’habitude tranquille se retrouve être une autoroute très fréquentée. Les services de navigation par satellite pourraient en être la cause.
Les services de GPS optimisent les routes pour leurs utilisateurs en prenant compte des embouteillages, des accidents et des travaux. De telles applications obtiennent des données des services municipaux mais également des informations des utilisateurs.
Le service le plus connu du genre est Waze. Acquis par Google en 2013, Waze pourrait servir de parfait exemple de comment les services en ligne peuvent empiéter sur la vie réelle. Tandis que la vie des utilisateurs est simplifiée, de tels services peuvent également créer des problèmes de vie privée et de sécurité.
Par exemple, afin de rendre un itinéraire plus rapide d’un point A à un point B pour ses utilisateurs, Waze a engendré un important trafic routier dans des rues qui étaient autrefois tranquilles. L’application redirige les voitures, camions et même les bus touristiques dans des rues et allées tranquilles pour minimiser les délais du trafic.
La riposte des hommes
Dans le Maryland, un quartier tente de renverser Waze en utilisant ses propres méthodes. Afin de retrouver leurs allées et leurs rues peu fréquentées, les riverains envoient de faux rapports d’accidents de circulation au service. Waze ignore un rapport d’accident si les données indiquent que la vitesse réelle sur le tronçon de route n’a pas diminué. Par conséquent, afin de contourner cet obstacle, les groupes de résistance unissent leurs efforts avec leurs voisins et envoient de fausses notifications dans le but de déjouer l’application.
Waze redirects cars from clogged highways to local streets. So neighbors are reporting fake accidents to stop it. http://t.co/azf6TawN1T
— Alex Goldmark (@alexgoldmark) November 14, 2014
Est-ce que de telles tactiques fonctionnent ? Il n’y a pas de chiffres qui permettent de le dire. Le site Wired suggère plus de mesures robustes pour faciliter le trafic des riverains, comme installer des ralentisseurs, remplacer de simples intersections par des ronds-points, des voies de rétrécissement etc. Ces méthodes fonctionnent, mais on ne peut pas les déployer en se basant uniquement sur un accord de bonne volonté avec le voisinage.
Désapprobation officielle
Il n’y a pas que les riverains qui soient énervés, la police également, à cause d’une option alertant les conducteurs des embuscades de la police. Retour en 2014, le chef de la police de Los Angeles Charlie Beck, est allé jusqu’à écrire une lettre au PDG de Google Larry Page après qu’un individu tire sur deux policiers qui avait utilisé Waze pour repérer leur localisation.
Une autre lettre scandalisée a été envoyée à Page provenant du chef de la New York Police Union, Edward Millins, qui demandait à Google de supprimer la fonction de repérage de la police de l’application, en menaçant d’avoir recours à une action en justice. Google n’a pas donné suite, l’application étant toujours active.
La confrontation entre la police et Waze ont fait que d’autres acteurs se sont intéressés de plus près à l’application. Les organismes de droits civils, tels que l’Electronic Frontier Foundation ont pris parti pour le service en indiquant que l’usage intensif des technologies de reconnaissance des plaques d’immatriculation et des visages et autres outils empiétait sur le droit de la vie privée des individus. L’EFF a indiqué que les autorités policières ne respectaient pas la vie privée des citoyens.
The dark side of facial recognition? https://t.co/7I6B8MAZuW pic.twitter.com/j2O7QkmlF0
— Kaspersky Lab (@kaspersky) August 22, 2016
Une autre utilisation de Waze sert à contourner les contrôles de police. Pour s’opposer à cette fonction, la police de Miami aurait présenté de fausses localisations de la police sur Waze dans le but de dissimuler leur vrai emplacement. Un porte-parole du département a nié cette affirmation, du moins officiellement, cette pratique n’étant pas confirmée.
Erreurs de gestion
La nature de Waze a aussi conduit à ce que le public perçoive le service comme étant responsable de certains types d’incidents. En 2015 par exemple (bien qu’il y en ait eu d’autres), le service a orienté un couple âgé vers un quartier dangereux du Brésil. Ils voulaient se rendre à l’avenue de Quintino Bocaiúva à São Francisco ; et Waze les a amenés à la rue Quintino Bocaiúva Street, à Caramujo. Ils se sont retrouvés pris dans un échange de tirs, où une personne est décédée.
Afin de permettre aux utilisateurs de rester en sécurité durant les Jeux Olympiques de Rio 2016, Waze affichait des notifications chaque fois qu’une personne entrait dans un quartier dangereux. (Les données provenaient de rapports d’activité criminelle anonymes établis par des habitants).
La nouvelle fonction de navigation communautaire de Waze pourrait également provoquer une hausse des critiques de l’opinion publique. Prenons le cas d’Uber, avec qui Waze a l’intention de faire concurrence. La médiatisation de tous les incidents d’Uber (des accidents de circulation ordinaires au kidnapping) a mis en lumière que lorsque quelque chose n’allait pas, le conducteur était tenu pour responsable.
Renting a car abroad: survival guide – http://t.co/cpWBwubEbx pic.twitter.com/Pm8QCie0Zp
— Kaspersky Lab (@kaspersky) May 30, 2015
Une ressource intitulée WhoIsDrivingYou.org liste tous les incidents liés à Uber et à son concurrent Lyft. Elle appartient à Taxicab, Limousine & Paratransit Association, une organisation représentant les services de transport traditionnels aux Etats-Unis.
Contrairement à l’approche d’Uber, les administrateurs de Waze ne projettent pas de contrôler la « fiabilité » de leurs conducteurs. La sélection sera totalement fondée sur les évaluations des utilisateurs.
Voitures fantômes
Et au final, nous en revenons toujours à nos préoccupations permanentes : les fuites de données, les menaces, et les vulnérabilités. Qui y’a-t-il de spécial chez Waze, et comment les cybercriminels pourraient en tirer parti ? On ne parle pas de piratage au niveau des serveurs, ces derniers sont à peu près les mêmes pour tout le monde. Mais qu’en est-il des « voitures » fantômes de l’outil de navigation communautaire ? Des chercheurs du Technion – Institut israélien de technologie, ont mené une telle expérience en 2014.
Les scientifiques avaient d’abord créé des bots, qui avaient gagné la confiance de Waze en conduisant dans une zone, et ensuite commencèrent à simuler des embouteillages, que le système reconnaissait comme légitimes. Les embouteillages présumés faisaient que le service prévoyait des détours pour éviter ces zones.
A présent, l’évolution possible : les hackers créent des embouteillages qui n’existent pas afin que des voitures évitent certaines routes, provocant par conséquent une paralysie totale du trafic.
Au printemps dernier, des chercheurs de l’Université de Californie à Santa Barbara et de l’Université de Tsinghua à Pékin trouvèrent une autre méthode de pirater Waze. Le service trace des avatars d’utilisateurs avec des noms et autres caractéristiques d’un profil sur une carte. En automatisant des requêtes pour montrer des utilisateurs proches du serveur de Waze, les chercheurs pouvaient traquer leurs mouvements.
#ICYMI How to stop #iOS location tracking https://t.co/xaJZkP8udi #mobile #privacy pic.twitter.com/vaMnK52KAd
— Kaspersky Lab (@kaspersky) August 20, 2016
L’administration de Waze s’est empressée de nier de telles menaces sur la vie privée. Les utilisateurs peuvent activer le mode invisible et cacher leur localisation des autres conducteurs, ont-ils indiqué. Toutefois, les développeurs ont redoublé d’efforts concernant la vie privée en supprimant les noms d’utilisateurs de leur banque de données disponibles (même si les noms de leurs amis demeuraient visibles sur la carte).
Suite à cette mise à jour, les chercheurs étaient cependant toujours capables de reproduire l’expérience, en n’utilisant non pas des noms mais à la place la date à laquelle un profil avait été créé comme leur base de référence de suivi. Cette date est précise à la seconde près et permet d’identifier un utilisateur. Plus tard, les développeurs avaient réglé le problème.
A la suite de la nouvelle fonction de navigation communautaire mise en place par Waze, des rumeurs refont surface comme quoi Google serait en train de développer secrètement un service de taxi totalement automatisé qui utiliserait les données de Waze afin de sélectionner les meilleurs itinéraires à emprunter. Pour le moment, vous pouvez contourner les suggestions d’itinéraires des applications ou des autres conducteurs, cependant avec des taxis sans conducteur, cela ne pourrait plus être le cas. Nous espérons qu’avant de mettre en place les taxis sans conducteur (si tel est le cas), Google sera en mesure de résoudre les failles de Waze afin d’assurer une expérience utilisateur en toute sécurité.
Source: Kaspersky
Les guerres de navigation