Ripley, un logiciel d’Uber pour empêcher les enquêteurs d'accéder à ses informations internes
lors des perquisitions dans ses bureaux à l’étranger
Hell, Greyball, God View, etc. Et aujourd’hui Ripley, un autre logiciel secret développé par Uber pour duper les autorités lors des visites inattendues dans les bureaux de l'entreprise à l’étranger.
En mai 2015, des enquêteurs de l'administration fiscale du Québec ont fait une descente dans les bureaux d'Uber à Montréal avec un mandat, dans le but de recueillir des éléments pouvant indiquer que la société avait violé les lois fiscales du pays. Mais ils sont repartis bredouilles. Parce qu'Uber était tout à fait en ordre ? Apparemment non, d'après un rapport de Bloomberg. Mais plutôt parce qu'Uber savait quoi faire en cas de visites inattendues.
À l'instar des responsables des bureaux d'Uber à l'étranger, ceux de Montréal avaient été formés pour déclencher une alerte envoyée à une équipe au siège de l’entreprise à San Francisco. Lorsque l'équipe a reçu l'alerte, elle a procédé rapidement à la déconnexion à distance de tous les ordinateurs du bureau de Montréal, ce qui a rendu pratiquement impossible pour les autorités de récupérer les dossiers de la compagnie pour lesquels ils avaient obtenu un mandat. Et les enquêteurs sont donc partis sans aucune preuve.
Souffrant déjà d'une mauvaise réputation, Uber est plus susceptible d'être visité par les forces de l'ordre dans les différents pays dans lesquels il opère. C'est donc pour contrecarrer les descentes de la police dans ses bureaux à l'étranger, comme la société l'a fait à Montréal, qu'Uber a mis en place ce système à distance, appelé Ripley. Avec Ripley, Uber pourrait modifier à distance les mots de passe, verrouiller les données sur les smartphones, les ordinateurs portables et les ordinateurs de bureau appartenant à l'entreprise, mais aussi éteindre les appareils. Ripley a été utilisé au moins une vingtaine de fois, et certains employés d'Uber pensent que le programme a ralenti les enquêtes juridiquement valides dans certains pays ; ce qui pourrait être considéré comme une entrave à la justice.
L'outil a été développé en coordination avec les services de sécurité et juridique d'Uber et d'après des personnes ayant connaissance de la manœuvre d'Uber, les racines de Ripley datent de mars 2015, lorsque la police a pris d'assaut le bureau d'Uber à Bruxelles. Les autorités belges, qui ont accusé Uber d'opérer sans licence appropriée, ont eu accès au système de paiement et aux documents financiers de l'entreprise ainsi qu'à des informations sur les chauffeurs et les employés. Une ordonnance du tribunal a ensuite forcé Uber à fermer son service sans licence plus tard dans l'année.
Après cette descente et une autre à Paris la même semaine, Salle Yoo, qui était en ce moment avocat général d'Uber, a demandé à son personnel d'installer un service de chiffrement standard et de déconnecter les ordinateurs après 60 secondes d'inactivité. Elle a également proposé de tester une application pour contrer les descentes inattendues des autorités dans ses bureaux.
C'est ainsi que les employés du département informatique d'Uber se sont vu confier cette tâche de créer un système permettant de cacher les dossiers internes aux intrus qui entrent dans l'un des bureaux de l'entreprise à l'étranger. L'équipe de sécurité, chargée de plusieurs des programmes les plus controversés d'Uber, a ensuite repris Ripley au département informatique en 2016.
Répondant à ces révélations, Uber affirme dans un communiqué que « comme toutes les sociétés ayant des bureaux dans le monde, [il] a mis en place des procédures de sécurité pour protéger les données de l'entreprise et des clients. » Avant de préciser que « quand il s'agit d'enquêtes gouvernementales, la politique d'Uber est de coopérer pour toutes les perquisitions valables et les demandes de données. »
Le programme Ripley était gardé très secret. D'après Bloomberg, son existence était inconnue même de nombreux travailleurs dans les bureaux d'Uber qui ont été visités par la police. D'après deux sources, certains employés étaient alors désorientés et angoissés quand les forces de l'ordre leur ont ordonné de se connecter à leur ordinateur et qu'ils se rendaient compte qu'ils étaient incapables de le faire.
Les versions ultérieures de Ripley ont donné à Uber la capacité de fournir sélectivement des informations aux agences gouvernementales qui ont fouillé ses bureaux à l'étranger. Sous la direction des avocats de la compagnie, les ingénieurs de sécurité pourraient choisir les informations à partager avec les agents des forces de l'ordre qui avaient des mandats pour accéder aux systèmes d'Uber. Une autre option était envisagée quand Uber voulait être moins transparent.
Il est également rapporté qu’en 2016, l'équipe de sécurité a commencé à travailler sur un logiciel appelé uLocker, un projet supervisé par John Flynn, le responsable de la sécurité de l'information d'Uber. Un prototype pourrait présenter une version fictive d'un écran de connexion typique à la police ou à d'autres visiteurs indésirables, d'après les sources de Bloomberg. Mais Uber dit n'avoir jamais implémenté ou utilisé de fonction de faux bureau, et que la version actuelle d’uLocker n'inclut pas cette fonctionnalité.
Source : Bloomberg
Et vous ?
Qu’en pensez-vous ?
Avec ces révélations qui se succèdent sur les pratiques d'Uber, croyez-vous que son nouveau DG a des chances de restaurer l'image de la société ?
Voir aussi :
Uber ou l'art de faire travailler les chasseurs de bogues sans leur verser de primes ? Un chercheur en sécurité raconte son expérience
Hell : Uber aurait eu recours à un programme développé en interne pour espionner les chauffeurs de son grand rival Lyft
Greyball : Uber a eu recours à des techniques de data mining pour duper les forces de l'ordre dans les villes où son service a été banni
Partager