Roskatchestvo identifie les applications d’appel de taxi non sécurisées

Le centre d’expertise numérique de Roskatchestvo a réalisé une étude sur les 20 applications mobiles de commande de taxi les plus populaires. Étant donné que les services de taxi collectent et stockent nos données personnelles et nos données de paiement, ils doivent présenter des performances irréprochables en termes de sécurité. La sécurité informatique de plus de 60 applications peu connues a également été analysée. Hélas, toutes ne se sont pas avérées sûres.

Depuis 2023, le marché des taxis n’a cessé de croître et d’évoluer rapidement, en 2023, plusieurs services, dont Veset et Rutaxi, précédemment analysés par Roskachestvo, ont été acquis par Yandex, augmentant sa part globale et en faisant le leader absolu de la présence 40 % au niveau global, 67 % parmi les agrégateurs, selon Forbes en septembre 2023 .

Pour déterminer le degré de fonctionnalité, de qualité et de sécurité des applications de commande de taxi, Roskachevo a testé 20 applications : 10 pour iOS et 10 pour Android. Et les avocats d’ANO PravoRobotov ont examiné les politiques de confidentialité des services pour vérifier leur conformité avec la loi fédérale « sur les données personnelles » n° 152-FZ du 27 janvier 2009 .07.2006 et a mis en évidence les aspects négatifs et positifs auxquels les utilisateurs doivent prêter attention.

Sergey Bodrov, chef du Centre d’expertise numérique de Roskatchestvo.

« Au cours de l’étude, les experts ont utilisé les applications comme des utilisateurs ordinaires : ils ont commandé des taxis et conduit dans la ville, analysé le fonctionnement et les fonctionnalités de l’application, ajouté des adresses aux favoris et demandé des commandes, étudié les profils des conducteurs informations sur les conducteurs, les voitures, la société de transport et travaillé sur d’autres scénarios d’utilisation typiques. En outre, des tests de sécurité des applications utilisant des logiciels spécialisés ont été réalisés. Elle a testé toutes les fonctionnalités clés, évalué la commodité, la sécurité des informations ainsi que les performances et la fiabilité des applications de commande de taxi »

Selon les résultats de l’enquête, l’application leader « Yandex Go » est restée la même, « Taxovichkof » a perdu du terrain, « Citimobile » a amélioré sa position et se classe désormais troisième sur les deux plateformes iOS et Android .

Selon les résultats du test, les applications les plus fonctionnelles sont Yandex Go, Taxovicof sur les deux plateformes et Uber sur Android, ainsi que Citimobile sur iOS. Les applications les plus conviviales de l’enquête sont Yandex Go, Taxovitchkof et maxim sur Android, et Taxovitchkof et maxim sur iOS. En termes de sécurité, toutes les applications populaires ont obtenu de bons résultats, la majorité d’entre elles obtenant une note de 3,5 ou plus. Certaines applications Android ont été déclassées parce qu’elles contenaient des « traceurs » de données d’utilisateur.

Tous les participants à l’enquête ont mis en œuvre la plupart des fonctionnalités à un niveau élevé. Cependant, Gett et DiDi ne permettent pas d’appeler un taxi sans spécifier l’adresse à l’avance. Toutes les applications n’indiquent pas la distance entre la voiture et l’utilisateur : Gett, Taxovychkof et maxim manquent cette fonction. La version Android de DiDi ne montre pas les bâtiments sur la carte. Seuls Taxoviccof, Yandex.Go », « Citimobile » et Uber peuvent sélectionner à nouveau l’adresse récente du trajet.

Le point important suivant pour l’utilisateur, une fois le choix de la voiture effectué et le véhicule attribué, est le profil du conducteur et du véhicule. Les spécialistes évaluaient si le nom du chauffeur, sa photo et son classement, les informations sur la voiture, les informations sur la société de transport, les données sur la date d’enregistrement du chauffeur dans le service de taxi figuraient sur la carte du chauffeur.

Comme dans la dernière étude, il existe encore des variations significatives entre les applications quant au degré de remplissage du profil du conducteur, de la quasi-absence du profil du conducteur dans Let’s Go, Omega et TapTaxi, à une carte entièrement informative avec photo dans Yandex Go, DiDi et Gett.

Le prochain groupe de critères importants pour l’utilisateur est celui des souhaits du voyage. Si l’utilisateur a un petit enfant, des bagages lourds ou un animal, la présence de filtres appropriés est indispensable. L’absence de tels filtres reste un problème pour certaines applications, comme l’a montré la recherche. DiDi, Gett, TapTaxi et Uber sont ceux qui offrent le moins de possibilités de demandes de transport.

En outre, la disponibilité du bouton SOS a été évaluée : il est disponible dans Omega, Let’s go, Yandex Go et maxim, ainsi que dans DiDi et Citimobile. Cette fonction vous permet de composer le 112 d’une simple pression, ou de partager votre position avec des contacts de confiance. Cette caractéristique peut être un facteur décisif pour certaines personnes lors du choix d’un service.

Par rapport à l’enquête précédente, la possibilité de mettre un conducteur spécifique sur une liste noire dans une application est nettement plus populaire la majorité d’entre eux l’ont mis en œuvre par le biais d’une demande d’assistance, mais certains offrent également la possibilité de bloquer le conducteur directement . La démonstration de l’évaluation de l’utilisateur similaire à l’évaluation du conducteur a été envisagée sans aucune évaluation. Seul Yandex Go l’a ouverte pour un passager. Citimobile a un niveau de compte utilisateur similaire.

Lors de l’examen des applications du point de vue de la sécurité, les experts ont vérifié si le service ne demandait que le minimum de données et d’autorisations nécessaires à l’utilisateur, et si ce dernier pouvait supprimer son compte. La sécurité du transfert des données de l’application et des données des utilisateurs a été analysée séparément. À cette fin, les experts ont capturé tout le trafic envoyé par l’application à l’aide d’un logiciel spécialisé Wireshark , puis l’ont analysé pour détecter la présence de données non cryptées. L’interception du trafic a été gérée avec succès par toutes les applications – aucune vulnérabilité n’a été identifiée.

Un nouveau critère a également été introduit : la disponibilité de traceurs analytiques qui collectent des informations sur l’utilisateur. Ils sont ajoutés par les développeurs pour de bonnes intentions – analyser le comportement des utilisateurs et utiliser ces informations pour développer l’application. Cependant, les trackers gratuits des grandes entreprises comme Facebook ou Google comportent des risques supplémentaires en matière de sécurité : les géants de l’informatique reçoivent des données statistiques sans que l’utilisateur en ait besoin. Pour cette raison, l’existence de tels trackers a été considérée comme un inconvénient dans l’étude. Ces modules n’ont pas été détectés dans les applications iOS, alors que ce critère a été utilisé pour réduire les points dans les applications Android.

Soixante pour cent des applications ont permis de lier les cartes bancaires via 3-D Secure. Ce code, envoyé par SMS, est nécessaire au service pour vérifier que la carte vous appartient bien. Théoriquement, son absence pourrait permettre aux attaquants de relier la carte d’une autre personne à leur compte et d’effectuer ensuite des paiements de voyage avec la carte volée ou simplement en récupérant ses coordonnées.

En outre, les experts de Roskatchestvo ont testé toutes les applications Android pour détecter la présence de vulnérabilités et de VOI avec Solar appScreener en utilisant la technologie d’analyse binaire automatique, sans rétro-ingénierie décompilation du code source . Les vulnérabilités potentielles suivantes ont été identifiées : accès au DNS dans 50 % des cas, réflexion non sécurisée détectée dans 30 % des applications examinées et implémentation non sécurisée du SSL natif dans 20 %. Algorithme de hachage faible dans 80 % des applications analysées, protocole HTTP non sécurisé dans 70 % des cas. Intégration dans une requête de base de données SQLite – 20 %.

Outre les 20 applications bien connues de l’étude, les spécialistes ont également testé la sécurité de 63 applications moins populaires : 36 sur Android et 27 sur iOS, respectivement.

Sur la plateforme iOS ne sont transmises que les données de géolocalisation de l’utilisateur au moment de la commande, un total de 6 applications ont été capturées sur celle-ci, notamment « NonStop : service de commande de taxis » ; « Taxi Pobeda » ; « DA TAXI Tyumen » et « Taxi Variant ». Sur la plateforme Android, la situation semble pire – par exemple, les spécialistes ont identifié 2 applications – SV-TAXI. appel de taxi » et « UpTaxi toutes les villes  » qui, outre les données de géolocalisation susmentionnées, ont transmis dans le domaine public les données personnelles de l’utilisateur également. Le numéro de téléphone dans un cas et les informations d’identification numéro de téléphone et mot de passe et le modèle de l’appareil dans le second cas, respectivement. Cette vulnérabilité, outre le fait qu’elle compromet directement les données, peut entraîner de nouvelles attaques de la part des fraudeurs à l’encontre des utilisateurs.

Trois applications Android ont également été détectées qui transmettaient des données de géolocalisation non cryptées aux utilisateurs, à savoir Order GOST Taxi, My City et Taxi Saturn+. Comme dans le cas d’iOS, cette vulnérabilité, bien que non critique, est tout de même indésirable du point de vue de la sécurité numérique.

Un autre problème de la plate-forme Android est l’accès excessif ou caché aux applications, qui confère à celles-ci des fonctions cachées et, dans certains cas, des fonctions malveillantes. Ainsi, 17 des 36 applications Android permettent d’obtenir des données sur l’état du téléphone, 8 des 36 applications permettent d’afficher les contacts et 6 des 36 applications permettent de passer des appels téléphoniques.

Parmi les applications où tous les accès redondants répertoriés ont été demandés, on peut citer « SV-TAXI. Call Taxi, Taxi Nam Puti et Faem.Taxi. Le téléchargement de ces applications n’est pas recommandé par Roskatchestvo.

Vérifier la conformité de la politique de confidentialité des applications de commande de taxis avec la loi sur les données personnelles n° 152-FZ du 27 janvier 2009 .07.2006 ont été réalisées par des avocats de l’organisation autonome à but non lucratif « PravoRobotov ». Dans l’ensemble, toutes les applications étudiées ont obtenu de bons résultats d’un point de vue juridique, avec une note de 4 ou plus. L’exception était Taxovychkof, dans l’application de laquelle, au moment de l’enquête, la référence à la politique de confidentialité ne fonctionnait pas. Au moment de la publication, le problème n’avait pas été corrigé. Cependant, tous les services, à l’exception de Taxoviccof, transmettent des données à des tiers affiliés.

La couverture d’assurance vie et santé pour les passagers des taxis de tourisme fait l’objet d’une attention constante de la part des autorités gouvernementales et de la société en général depuis plusieurs années maintenant. Dans le cadre de la recherche, Roskatchestvo et les avocats de PravoRobotov ont analysé les informations relatives à l’assurance dans les applications en question. Seuls trois d’entre eux Citimobil, Yandex, etc. n’avaient pas encore corrigé le problème.Le service Taxi » et Gett assure automatiquement le passager pendant le trajet, l’assurance du passager est confiée à un tiers. D’autres services, d’une manière ou d’une autre, transfèrent la responsabilité des urgences au conducteur et/ou au passager et obligent à accepter qu’en fait le transporteur « ne fournit pas de services de transport ou de logistique » et n’accepte pas les réclamations y compris cette formulation du service Uber, propriété de Yandex .

Stanislav Shvagerus, chef du centre de compétences du Forum international des taxis d’Eurasie.

« Dans la Fédération de France, la pratique de l’assurance passagers est volontaire, et constitue en fait un avantage concurrentiel de l’agrégateur sur le marché ». Cependant, le caractère volontaire de cette assurance comporte des risques importants pour les passagers des taxis. Si l’assurance obligatoire définit clairement l’ordre de paiement, le montant du paiement de l’assurance est déterminé à la fois par le droit des assurances et par l’article 34 « Responsabilité de l’affréteur » de la loi fédérale du 8 novembre 2007. N 259-fz « Charte des transports motorisés et des transports électriques urbains de surface », alors en cas d’assurance volontaire de la responsabilité des agrégateurs, cette procédure et le montant des paiements sont déterminés par la convention entre l’assureur et l’agrégateur. D’où le montant extrêmement faible de l’indemnisation réelle pour la vie et l’intégrité physique des passagers des taxis de tourisme »

Les agrégateurs dits de « deuxième échelon » se distinguent – ils n’ont toujours pas assuré leur responsabilité ou organisé des « fonds d’indemnisation ». Ces agrégateurs, en règle générale, déclarent dans leur règlement intérieur qu' »ils ne sont pas responsables du contrat public de services de taxi de passagers qu’ils signent et que le chauffeur de taxi de passagers porte toute la responsabilité envers le passager ». Ces agrégateurs oublient que, en vertu de l’article 37 « nullité des conventions » de la loi fédérale du 8 novembre 2007. N 259-FZ « Statut du transport routier et du transport électrique terrestre urbain », ces documents ne sont pas valables.

La pratique judiciaire en matière d’indemnisation pour la vie et la santé des passagers de taxis de tourisme est étendue et consiste en une reconnaissance massive de la responsabilité des agrégateurs de taxis pour les dommages causés aux passagers de taxis de tourisme dans le cadre d’un contrat d’affrètement de taxis de tourisme. Vérifiez si le service de réservation de taxis que vous aimez répond aux exigences de sécurité et est conforme à la loi?

L’étude a été menée conformément à la méthodologie de test basée sur la norme nationale provisoire pour les tests de comparaison d’applications mobiles PNST 277-2023.