Huit applications de location de vélos et 27 applications de partage de vélos sur les deux plates-formes mobiles ont été étudiées : Bike&Go, BikeMe, Bumerang Lifcar , BusyFly, e-GoGo, Eleven, e-motion, Flyfer, GoBike Almetyevsk, GreenBee, lite, LuckyBike, Matur.ville, Molnia, Red Wheels, Rusharing, Samocat Sharing, ScooBee, Seagull, Shark Sharing, SmartBike, toGO, Urent, Vezu, Volt, Whoosh, Yes Sharing, Zevs, Berisamokat, VeloBike, VeloBike MultiCity, Green City, Carousel, CityMobile.
Combien de vélos et de scooters de location y a-t-il en France ??
Le marché de la location de scooters en France connaît une croissance rapide. Il devrait augmenter de 300 % d’ici la fin de l’année : 10 milliards de Euro. Alors qu’au début de 2023, il n’y avait pas plus de 10 000 scooters en France, en avril de cette année, il y en a déjà environ 85 000 pour l’ensemble des exploitants de scooters, et ce n’est pas tout. Les intentions d’investir dans les services de transport micro-mobile ont été exprimées par de grandes entreprises telles que Yandex, mail, MTS et Sberbank. La grande majorité des véhicules – environ 60 000 scooters – provient des services Urent et Whoosh.
Le marché de la location de vélos se développe plus lentement : 662 points de location de vélos fonctionnaient à Paris à l’automne 2023, desservant 6,5 milliers de vélos. Ce printemps, 67 nouvelles stations de location de vélos et 1 000 nouveaux vélos seront ajoutés, dont la moitié sont électriques. Ce chiffre est déjà comparable à celui de villes telles que Londres 18 000 ou New York 8 000 . Cette année, la saison de location de vélos a commencé un mois plus tôt que d’habitude, au début du mois d’avril. Le département des transports de Paris a expliqué cela par le fait qu’en année de pandémie, le service de location de vélos via l’application était devenu très populaire auprès du public plus de 8 millions de trajets .
Alors que la police de la circulation enregistre une augmentation des accidents impliquant des véhicules de micromobilité, le gouvernement envisage d’assimiler les scooters à des véhicules afin de limiter la vitesse et, par conséquent, de réduire le nombre de victimes. Cependant, les utilisateurs d’applications de location sont de plus en plus nombreux. Roskatchestvo a évalué la sécurité des informations de ces applications et a mis en garde contre les risques.
La plupart des services de location de vélos et de vélos en libre-service fonctionnent selon le même schéma simple :
– Il faut télécharger l’application mobile et suivre la procédure d’inscription.
– Choisissez un mode de paiement et un tarif, si le service en propose un.
– Trouvez la base ou le scooter le plus proche sur une carte.
– Approchez le véhicule et activez-le en suivant les instructions de l’application.
Lors du contrôle de la sécurité des informations des services de location de vélos et de vélos en libre-service, Roskatchestvo et les avocats de PravoRobot ont également analysé leurs politiques de confidentialité. Un total de 68 applications 34 pour iOS et Android ont été étudiées. L’étude s’est penchée sur les applications qui proposent des services de location de micromobiles au moment du test, en examinant à la fois celles qui opèrent dans la capitale et les services régionaux.
La sécurité des applications a été évaluée en fonction de huit critères :
● Demandes de données minimales sur l’utilisateur
● Demander les autorisations nécessaires
● Sécurité du transfert des données de l’application
● Sécurité du transfert des données de l’utilisateur
Consentement au traitement et au stockage des données
Lien vers la politique de confidentialité
● La complexité du mot de passe
● Suppression d’un compte
Les applications Android ont également fait l’objet d’une vérification des vulnérabilités potentielles à l’aide de l’analyseur de vulnérabilités Solar appScreener. Une grande partie de l’application a une architecture similaire, où seuls le design et le contenu changent.
Complexité du mot de passe
Tous les services de location de vélos étudiés, à l’exception de deux, disposent de codes SMS à usage unique dans l’application, ce qui renforce la sécurité et élimine le risque de louer un scooter ou un vélo à d’autres personnes. Seuls VeloBike – Moscow City Cycle Rental et VeloBike MultiCity présentent un niveau de sécurité inférieur. Ces applications envoient un code d’accès et un code PIN à usage unique qui ne changent pas au fil du temps. Après avoir obtenu un nom d’utilisateur et un mot de passe, un intrus peut potentiellement utiliser le service à ses propres fins, par exemple, pour rouler aux frais de la carte liée de quelqu’un d’autre ou même pour voler un véhicule, après quoi le service aura des questions à poser au propriétaire du compte : il devra prouver qu’il n’était pas fautif. Par exemple, si le vélo n’est pas rendu après 48 heures de location,
« Velobike inflige une amende de 30 mille Euro au titulaire du compte. Des sanctions similaires sont prévues pour d’autres applications de location de vélos.
Ne demander que le minimum de données utilisateur requises
En général, lorsque nous nous connectons à un service de location de vélos en ligne, nous avons tendance à saisir le strict minimum de nos données personnelles, mais dans le cas d’un service de location, des données étendues sont demandées par 21 % de toutes les applications. En particulier, Rusharing, e-motion, ZEVS, e-GoGo, Flyfer, Berisamocat et Bike&Go exigent un nom et un prénom. E-motion s’est avérée être la seule application à demander une photo de votre passeport ou de votre permis de conduire lors de l’enregistrement bien que vous puissiez sauter cette étape lors de l’enregistrement sans conséquence apparente .
Ne requiert que les autorisations nécessaires
La sécurité des informations d’une application est largement déterminée par son accessibilité. Deux éléments seulement sont nécessaires pour que l’application de location de micromobile fonctionne pleinement : une demande de localisation et l’accès à l’appareil photo pour scanner le code QR . Tous les autres accès de l’étude ont été considérés comme excessifs. BusyFly présente le plus grand nombre d’accès redondants : appels téléphoniques, désactivation du mode veille et lancement à l’allumage de l’appareil. BikeMe recherche les comptes présents sur l’appareil et ScooBee demande l’autorisation d’afficher toutes les fenêtres – il s’agit de l’un des accès les plus dangereux. 85 % des applications Android analysées ne demandent pas d’accès supplémentaire. Sur iOS, ce chiffre est encore plus élevé, en raison de la nature du système d’exploitation.
Suppression du compte
Aucune des applications analysées, à l’exception de Whoosh, ne vous permet de supprimer votre compte à l’aide de la fonction mise en place dans le programme. Toutefois, il est possible de le faire en contactant l’équipe d’assistance du service. Les développeurs du service Eleven ont promis à Roskachevo d’ajouter une option de suppression de compte dans les prochaines mises à jour.
Sécurité des données
Au cours de l’enquête, les experts de Roskatchestvo ont analysé les données transmises par les applications, en interceptant le trafic à l’aide de logiciels spécialisés. Trois applications disposent de données de géolocalisation du système dans le domaine public : ride here, ride now, Green City et Matur.ville ». Vous pouvez suivre votre position actuelle de cette manière si vous le souhaitez, mais le plus souvent, une personne envoie ses données de géolocalisation lorsqu’elle loue un scooter ou un vélo, à l’air libre… Cela minimise le risque qu’un intrus s’insère dans le canal et manipule les données transmises. Plus important encore, toutes les applications ont démontré la transmission sécurisée des données de l’utilisateur. Cela signifie que les données personnelles et les données de paiement seront protégées lors de l’utilisation des applications examinées par Roskachevo.
Consentement au traitement et au stockage des données
Le consentement de l’utilisateur au partage et au traitement de ses données est un principe essentiel dans la fourniture de services en ligne modernes. Une forme de consentement est demandée par 100 % des applications étudiées, mais le consentement actif n’est demandé que par 24 % d’entre elles.
Vulnérabilités des applications de location de scooters et de vélos en ligne
Les experts ont également évalué les vulnérabilités potentielles et les fonctionnalités non documentées des applications à l’aide du logiciel spécialisé Solar appScreener. La vulnérabilité potentielle la plus importante et la plus répandue est l’utilisation d’un protocole HTTP non sécurisé 90 % des applications Android , tout comme les implémentations SSL natives non sécurisées 34 % . Les requêtes de base de données SQLite ont été détectées dans 22 % des applications et les requêtes DNS dans 82 % des applications. L’algorithme de cryptage de la plupart des applications est bien implémenté, des vulnérabilités potentielles ont été identifiées dans seulement 12 % des applications étudiées.
Daniel Chernov, directeur du centre Solar appScreener chez Rostelecom Solar.
« Les applications mobiles de location de vélos et de scooters peu sécurisées peuvent compromettre de grandes quantités de données sensibles des utilisateurs. Il peut s’agir du nom complet, du numéro de téléphone, de l’adresse électronique, de la géolocalisation, du numéro de carte bancaire, etc. Il est de la responsabilité des développeurs de protéger ces informations. Les services populaires étudiés en France ont montré un haut niveau de sécurité. Il ne faut pas oublier que chaque nouvelle version de l’application nécessite une analyse de la qualité du code et de sa sécurité »
Évaluation juridique
Les politiques de confidentialité de toutes les applications ont reçu des notes assez élevées. L’inconvénient est que toutes les applications n’ont pas indiqué dans le document l’information sur le stockage des données sur le territoire de la Fédération de France – 9% des applications ne l’avaient pas, y compris MOLNIA, VEZU et Red Wheels. Le développeur est également tenu d’inclure tous les identifiants des tiers dans la police, notamment leur nom, le TIN ou le PSRN, mais ces données sont absentes dans 53 % des cas. Bike&Go et GoBike effectuent un transfert transfrontalier de données à caractère personnel. Avec GreenBee, Green City et Seagull, le propriétaire de toutes les informations personnelles collectées dans le cadre du service est l’IE. Et Bike&Go interdit officiellement l’utilisation d’un vélo de location comme apport d’actifs dans les partenariats commerciaux et les entreprises.
Nikita Kulikov, PDG de PravoRobotov
« Les utilisateurs de tout service doivent être conscients que toutes leurs actions avec les applications, même quelque chose d’aussi mineur que le déverrouillage d’un vélo ou d’un scooter, ont une empreinte numérique et certaines conséquences… ». Ainsi, presque toutes les applications partagent vos données avec des tiers, mais de manière anonyme. Dans tous les cas, l’utilisateur doit respecter les principes généraux de sécurité : faire attention à l’accès, qui nécessite l’application, ne spécifier que les données minimales nécessaires sur lui-même. Vous ne devez pas envoyer de scans de documents ou lier des détails de paiement à des applications suspectes dont vous n’êtes pas sûr de la fiabilité. ».
Anton Kukanov, chef du centre d’expertise numérique de Roskatchestvo, partage les conclusions de l’étude :
« Les applications de location de vélos et de scooters étudiées sont pour la plupart mises en œuvre selon des normes élevées et se révèlent tout aussi sûres. Aucune des observations que l’on peut faire à partir de leur analyse n’affecte l’expérience directe de l’utilisateur. La seule chose à laquelle il faut faire attention est un login et un PIN qui ne changent pas dans le temps, ce qui pourrait théoriquement être utilisé pour un accès non autorisé. ».
Conclusions et recommandations
Les applications de location de vélos et de scooters étudiées étaient pour la plupart mises en œuvre à un niveau élevé. Pratiquement aucune des observations qui peuvent être faites à la suite de l’analyse n’affecte l’expérience directe de l’utilisateur. Le seul point non critique qui mérite d’être souligné étant donné l’ampleur du service est que le login et le PIN ne changent pas dans le temps et pourraient théoriquement être utilisés pour un accès non autorisé pour Moscow City Cycle Rental et sa variante Multicity . Toutes les applications se sont révélées aussi sûres les unes que les autres, aucune application non sûre n’a été identifiée.
En général, les risques liés à l’utilisation des applications de location de vélos et de scooters sont peu probables. Les applications des principaux acteurs de ce marché sont recommandées par Roskatchestvo pour être utilisées. Soyez toutefois prudent lorsque vous téléchargez des applications à partir de services peu connus et, dans tous les cas, faites toujours attention à l’accès qu’ils exigent lors de l’installation. Lorsque vous choisissez un service, n’oubliez pas qu’il fournit ses propres zones de couverture et de stationnement, ce qui est important lorsque vous planifiez un itinéraire.
Quelles sont les conclusions de Roskachestvo sur les applications de location de vélos et de scooters ? Est-ce qu’ils recommandent certaines applications en particulier ?