Roskachestvo a évalué les applications de commande de taxis et identifié celles qui ne sont pas sûres

Le centre d’expertise numérique de Roskatchestvo a étudié les applications mobiles les plus populaires pour commander des taxis. Les experts ont découvert les services les plus sûrs et les plus fonctionnels, dont l’utilisation est donc recommandée, et ceux qu’il est préférable de supprimer complètement de votre smartphone.

Selon une étude réalisée en décembre 2023 par la Fondation de l’opinion publique, 66 % des Françaiss ont utilisé des services de taxi au cours de l’année écoulée dans les grandes villes, ce chiffre atteint 73 % . 4% des Françaiss ont pris un taxi presque tous les jours, 10% plusieurs fois par semaine, 22% plusieurs fois par mois et 29% plusieurs fois par an. La majorité des citoyens Françaiss 69 % sont déjà habitués à ce service et le considèrent comme sûr. C’est vraiment si? Roskatchestvo a examiné pour la dernière fois les applications mobiles de commande de taxi en décembre 2023. À l’époque, Roskatchestvo avait de nombreuses questions sur la sécurité des applications mobiles.

Pour déterminer le degré de fonctionnalité, de qualité et de sécurité des applications de commande de taxi, Roskatchestvo a testé 22 applications : 11 pour iOS et 11 pour Android. En outre, les experts ont analysé des applications de commande de taxi peu populaires en dehors des principales tranches de classement en matière de sécurité. Des applications dangereuses ont été trouvées parmi plus de 100 applications étudiées.

Le top 5 n’a pas beaucoup changé cette année, Taxovichkof, qui ne se classait qu’au 7e rang lors de la dernière enquête, et Uber, médaillé d’argent en 2023, ont au contraire quitté le peloton de tête… Gett a également été rétrogradé en 5ème position sur les deux plateformes. Les applications Yandex Go, Taxovichkof et Citimobile sur Android ont été reconnues comme les meilleures sur tous les critères, tandis que Yandex Go, maxim et Taxovichkof sur iOS.

Pendant l’étude, les experts de Roskatchestvo ont utilisé l’application comme des utilisateurs ordinaires : ils ont commandé et voyagé en taxi, analysé le fonctionnement de l’application et ses fonctionnalités, ajouté des adresses aux favoris et aux souhaits de commande, étudié les profils des chauffeurs informations sur les chauffeurs, les voitures, la société de transport , etc. Un test supplémentaire de sécurité des applications a également été effectué à l’aide d’un logiciel spécialisé. Les tests ont été effectués sur 139 critères, testant toutes les fonctions clés, évaluant la commodité, la sécurité de l’information, les performances et la fiabilité des applications de commande de taxi.

Les résultats des entretiens approfondis avec les utilisateurs de taxis, menés par les experts de Roskatchestvo, et l’analyse sémantique de plus de 900 critiques sur l’App Store et le Google Play Market ont été pris en compte lors de la notation des applications.

fonctionnalité

La fonctionnalité est l’une des caractéristiques les plus importantes de toute application mobile pour le consommateur. Cartes de conducteur et de voiture testées par des experts, fonction de réservation, possibilité de laisser des souhaits pour un voyage enfants, bagages, animaux domestiques, etc. , affichage de son historique, fonctionnalité des paramètres et autres.

Faiblesses soulignées par les experts : DiDi n’affichait pas les bâtiments sur la carte ce problème a été corrigé dans la version publiée après la fin de l’enquête , tandis que Rutaxi montre l’emplacement des utilisateurs. Gett, DiDi et Bolt ne vous donnent pas la possibilité de commander une voiture pour une autre personne. Didi et Bolt ne permettent pas non plus de spécifier l’allée lors de la commande. Gett est le seul taxi sans possibilité de spécifier des arrêts intermédiaires. Gett, Bolt et Uber ne permettent pas de commander une deuxième voiture. « Let’s go » et DiDi ne permettent pas de visualiser les adresses récentes. Les outsiders dans l’évaluation des cartes étaient Veset et Rutaxi, qui n’ont essentiellement aucune carte de conducteur et seulement des informations sur le véhicule. Moins de la moitié des applications disposent d’une photo et d’une évaluation du conducteur.

DiDi n’a pas de fonction « liste de souhaits ». La possibilité de demander l’aide du conducteur lors de l’embarquement n’est disponible qu’avec les options « Let’s go » et « Taxi Driver », ce qui est particulièrement important pour les passagers à mobilité réduite. Il convient également de noter que la moitié des services n’ont pas la possibilité d’indiquer la disponibilité de bagages ou le besoin d’espace pour les accueillir.

Diverses fonctionnalités ont été évaluées pendant le voyage lui-même afin de faciliter la vie du passager. Alors que la communication avec le conducteur avant l’embarquement et la notification de l’arrivée du véhicule sont des fonctions de base dans toutes les applications, la notification du conducteur par le passager au sujet de son départ semble être plus rare seulement 45 % des applications en disposent . Presque toutes les applications, à l’exception de Citimobile, Gett et Rutaxi, ont la possibilité de partager le lien vers le trajet avec des tiers, ce qui est important pour la sécurité des passagers.

Moins de la moitié des applications permettent de changer le mode de paiement pendant le voyage, tandis que les autres ne le permettent que jusqu’au moment de la commande. La fonction la plus rare du groupe était le bouton SOS : il n’est disponible que dans Yandex Go, DiDi et Bolt. Il s’agit d’une solution à une touche qui permet aux utilisateurs de composer le 112 ou de partager leur position avec des contacts de confiance. Tous les services, à l’exception de Rutaxi et Taxovichkof, permettent de modifier l’itinéraire après avoir commencé un voyage.

Les applications de commande de taxi ont été évaluées en fonction de la disponibilité de tous les modes de paiement en espèces, sans espèces, Google/Apple Pay , ainsi que de la commodité du paiement sans espèces liaison de plusieurs cartes, remplissage automatique des détails en scannant la carte et de la possibilité de fixer le pourboire avant et après la course ces deux options sont disponibles dans 45 % des applications . Moins de la moitié des applications permettent le paiement sans numéraire via des services tiers, le même nombre permet de scanner une carte.

Indépendamment des autres fonctions, la possibilité d’ajouter un conducteur spécifique à la liste noire de l’application a été évaluée uniquement DiDi sur Android, Yandex Go, Gett et Uber sur iOS . Non évalué, seul Yandex Go dispose d’une évaluation de l’utilisateur similaire à l’évaluation du conducteur , ouverte au passager.

Selon les résultats des tests, les applications les plus fonctionnelles sur Android – Yandex Go, Taxovichkof et Poholyadlya Sur iOS – Yandex Go, Taxoviccof et Gett

En plus de la fonctionnalité, les experts ont testé la facilité d’utilisation des applications. Les experts ont testé la convivialité des applications auprès de plus de 180 utilisateurs ordinaires. Au cours de l’étude, les utilisateurs ont été soumis à des tâches de test, telles que la recherche dans l’interface d’une option permettant de laisser des commentaires sur le voyage ou de modifier le mode de paiement, et leurs actions ont été analysées. Cela a permis d’évaluer la clarté et la facilité d’utilisation de l’interface de l’application. Les applications Uber et Yandex étaient les plus pratiques pour les utilisateurs.Va ».

Seul Yandex Go dispose d’une assistance complète dans l’application.Go » et Uber formulaire de chat ou de retour d’information, aide à l’utilisation du service, possibilité de passer un appel d’assistance .

Adaptation pour les personnes handicapées support de la typographie dynamique et du lecteur d’écran VoiceOver Talkback disponible uniquement sur Android. En général, les applications iOS ont tendance à obtenir de moins bons résultats sur ce critère en raison des spécificités techniques de la plateforme. Seule Citimobile a obtenu un score de 4 %.

Toutes les applications étudiées ne comportent pas de matériel publicitaire intégré, à l’exception de Taxovichkof, qui intègre la publicité d’un service de livraison de repas.

Sécurité

La sécurité des informations est très importante pour les services de commande de taxis, car l’utilisateur indique ses données de paiement et, dans certains cas, ses données personnelles dans l’application. Au cours de l’enquête, nous avons évalué si le service ne demandait que le minimum requis de données et d’autorisations de l’utilisateur. La sécurité de la transmission des données de l’application et des données de l’utilisateur a été analysée séparément.

Pour examiner la sécurité de la transmission des données, les experts ont capturé tout le trafic envoyé par l’application à l’aide d’un logiciel spécialisé Wireshark , puis l’ont analysé pour détecter la présence de données non cryptées. Toutes les versions de DiDi et de Veset, à l’exception de la version Android, ont réussi à intercepter le trafic : Didi transmet des images non cryptées de l’application contenu , tandis que Veset transmet les coordonnées et l’adresse de destination de l’utilisateur, ce qui est beaucoup plus grave.

Potentiellement, après avoir intercepté ces données, un fraudeur pourrait retracer le chemin jusqu’à l’adresse de destination de la victime et utiliser cette information pour des attaques ciblées. Toutes les applications, à l’exception de DiDi, Bolt et Uber, permettent de lier les cartes bancaires via 3-D Secure.

Cette année, toutes les applications ont été jugées sûres et fiables, 73 % des services iOS et Android ayant obtenu un score de 4 ou plus. DiDi et Bolt ont obtenu de mauvais résultats sur les deux plateformes en raison de demandes de connexion excessives.

En outre, les experts de Roskatchestvo ont testé toutes les applications Android contre les vulnérabilités à l’aide du logiciel Solar appScreener, qui utilise une analyse binaire automatisée sans rétro-ingénierie décompilation du code source .

En conséquence, les vulnérabilités potentielles suivantes ont été identifiées : implémentation SSL native non sécurisée dans 54 % des cas, réflexion non sécurisée dans 81 % des cas, utilisation de HTTP non sécurisé dans 90 % des cas, algorithme de hachage faible dans 72 % des cas, algorithme de cryptage faible dans 9 % des cas, injection de requête de base de données SQLite dans 18 % des cas, requête DNS dans 90 % des cas.

En plus des 22 applications connues incluses dans l’enquête, les experts ont également testé la sécurité d’une centaine d’autres applications beaucoup moins populaires dont 65% pour Android .

Certaines des applications testées par Roskachevo ont détecté des failles, qui pourraient avoir des conséquences désagréables pour les utilisateurs. Il a été constaté qu’au moins cinq applications transmettaient les coordonnées des passagers sans protection, ajoutant dans certains cas le numéro et le modèle de téléphone, voire les données personnelles de l’utilisateur. Il existe un risque que des cybercriminels obtiennent ces données, qui pourraient ensuite être utilisées contre la victime », a déclaré Anton Kukanov, chef du centre d’expertise numérique de Roskachevo.

Un numéro de téléphone non crypté pour Taxi Saturn, RED TAXI, UpTaxi, Taxi Order GHOST constitue une vulnérabilité potentielle, car un attaquant pourrait y accéder en interceptant les données. Modèle de téléphone spécifique – également une information indésirable, car chaque modèle de téléphone a ses propres vulnérabilités, qui peuvent être exploitées par des intrus s’ils ciblent spécifiquement une victime. C’est particulièrement vrai pour les anciens modèles de smartphones.

Les données personnelles à « Taxi Saturn » sont un ensemble de numéros de téléphone et de noms, qui sont des informations très sensibles. Coordonnées dans X-Car dans le pire des cas -TAXI -SV et UpTaxi, Taxi, NonStop, un attaquant peut obtenir les coordonnées de la destination, mais ce sont surtout les coordonnées de l’emplacement réel qui sont transmises. Toutes ces vulnérabilités ont le potentiel de pénétrer dans le périmètre de sécurité d’une application. À cet égard, il n’est pas recommandé d’utiliser les applications Fi par exemple, si votre téléphone est connecté à un Wi public et utilise l’Internet mobile à cette fin . -dans un restaurant ou un hôtel

Politique de confidentialité

Examen des politiques de confidentialité des applications de commande de taxis pour vérifier leur conformité avec la loi sur les données personnelles n° 152-FZ du 27 janvier 2009 .07.2006 ont été réalisées par des avocats de l’organisation autonome à but non lucratif « PravoRobotov ». Dans cette étude, le groupe pertinent de 17 paramètres de test représentait 10 % du score final de l’application.

Les avocats ont analysé les politiques pour vérifier leur conformité avec la législation Français, et ont également vérifié les applications par rapport à des critères importants pour les utilisateurs, tels que les conditions de résiliation du traitement des données personnelles, la spécification de la personne responsable de la collecte des données personnelles et de celle à qui elles sont transférées, ainsi que la disponibilité du glossaire et de la localisation en Français dans la documentation utilisateur des services. Les informations relatives à l’assurance des passagers ont également été vérifiées seul maxim est entièrement présent dans l’application elle-même, pour les autres, le document est ouvert dans le navigateur .

La politique de service de Bolt fait référence au transfert de données à des tiers autres que ceux requis par la loi et les affiliés, et il n’y a pas de liste des tiers eux-mêmes. La politique d’Uber manque d’informations sur les données personnelles traitées. Il convient également de prêter attention au consentement automatique des utilisateurs à recevoir des mailings publicitaires par exemple, chez maxim et Taxoviccof .

Gett recueille même des informations telles que les performances de la batterie et du réseau par exemple, l’état de la batterie et l’utilisation du chargeur , ainsi que les noms, types et tailles de fichiers sur votre appareil, y compris la quantité d’espace libre et utilisé sur votre dispositif de stockage local.

Les politiques de confidentialité de tous les services, à l’exception de Taxoviccof, précisent que les données des utilisateurs peuvent être partagées avec des tiers. Il s’agit généralement de la collecte de données sur l’utilisation des applications par les utilisateurs.

Nikita Kulikov, k.t.n., Directeur général de l’ANO PravoRobotov

« L’étude a révélé qu’en plus de leurs tâches directes consistant à assurer le transport des citoyens, un certain nombre de services collectent une quantité excessive de données qui ne sont pas directement liées aux activités de commande de taxis. Certains services partagent également vos données avec des tiers, y compris étrangers. À cet égard, il est important pour tout utilisateur de se rappeler que même dans les situations les moins évidentes, la confidentialité de vos données personnelles peut être en jeu. ».

Les aspects négatifs et positifs des politiques de confidentialité, auxquels les juristes recommandent de prêter attention, sont indiqués dans les fiches de chacune des applications. L’étude a été menée conformément à une méthodologie de test basée sur la norme nationale provisoire pour l’évaluation comparative des applications mobiles PNST 277-2023