Stadtwerke Osnabrück annonce son application Yaniq avec l’offre de « voyage en bus au meilleur prix ». D’un simple glissement de doigt, les utilisateurs peuvent s’enregistrer puis profiter d’un ticket sans contact tout-en-un. Un expert en informatique sous le pseudonyme de « Kantorkel » a averti lors du rassemblement de hackers virtuels à distance du Chaos Communication Congress (rC3) que les gains en commodité vont de pair avec une perte généralisée de la vie privée. En arrière-plan, il y a « la conservation des données pour les transports publics locaux ».
Plusieurs associations de transport testent actuellement des systèmes dits de check-in/be-out (CiBo) pour permettre aux utilisateurs de naviguer plus facilement dans la forêt tarifaire existante. Des applications pertinentes comme Yaniq permettent des paiements automatiques via les smartphones. En raison de la vulnérabilité, Kantorkel a réussi à accéder au système backend de l’application Osnabrück et à naviguer sans interruption après la création d’un utilisateur test. C’était un environnement de production avant l’opération officielle. Néanmoins, un aperçu approfondi des bases de la procédure est devenu possible.
montagnes de données
Les pirates sont très surpris par « la quantité de données dont ce système a besoin ». Par exemple, la localisation d’un utilisateur est tracée via une balise Bluetooth distribuée dans le bus, qui permet de contrôler automatiquement les utilisateurs lorsqu’ils quittent le véhicule. Cependant, dans le même temps, les coordonnées GPS seront également collectées et « suivies pendant dix à 15 minutes après la descente ». La deuxième catégorie de géodonnées est « également appelée maison plus tard ».
L’application sait, par exemple, « où vous habitez » lorsque votre maison est à environ un quart d’heure, explique Kantorkel. Cela devient évident lorsque l’on se déplace relativement rapidement dans un bâtiment où il n’y a pas trop de monde. Même les mouvements à l’intérieur de l’appartement présumé seront toujours enregistrés. Avec différents niveaux de fiabilité, évalués avec une « confiance » spéciale, il est possible de voir dans la zone principale si l’utilisateur peut se promener ou faire du vélo.
Les militants ne peuvent pas dire si et pendant combien de temps ces informations sensibles et significatives sont conservées dans la version actuelle. Dans un Liste des questions fréquemment posées par Stadtwerke sur Yaniq il dit : « Vos données personnelles seront conservées aussi longtemps que nécessaire pour atteindre cet objectif » et il n’y a pas d’exigences légales de conservation ou d’autres justifications légales. En règle générale, les renseignements personnels seront conservés jusqu’à dix ans après l’expiration du contrat. À la fin de la relation contractuelle, les données d’utilisation seront supprimées au plus tard au bout de deux ans.
visualisation
Selon le pirate informatique, Stadtwerke a pu voir un pseudonyme « identifiant universel », l’heure de l’activité, le dernier arrêt et l’arrêt intermédiaire et le tarif à payer dans la version qu’il a vérifiée via l’aperçu « Voyages et billets ». Le score de fraude est également affiché. En général, des informations sur le téléphone utilisé, la qualité de la connexion et divers événements de check-in/out seront collectées, qui peuvent également être exportées de manière anonyme. Les utilisateurs backend peuvent également afficher des données sur les balises, y compris la capacité restante de la batterie.
Kantorkel explique que la vue « mouvement suspect » est utilisée pour créer des lignes dans un tableau pour chaque utilisateur, où l’utilisation de l’application est indiquée pour chaque heure de la journée. Par exemple, on peut voir que quelqu’un se réenregistre le matin après une nuit relativement courte et où il va. Ceci est visualisé sur une carte. Mais Kantorkel souligne également que moins de messages peuvent être collectés dans un système productif.
Selon Stadtwerke, outre les données d’identification, des informations spécifiques au contrat sont traitées, les « données de voyage » étant dotées d’un pseudonyme. En outre, il y aura des « fonctionnalités de validité » telles que les arrêts de départ, les données de voyage, « la date et l’heure de départ », les lignes et les transferts ainsi que « l’utilisation informatique et les données de journal ». Vous collectez également « d’autres données personnelles telles que l’adresse IP, participation et solvabilité sur demande auprès de l’agence de crédit Creditreform.
Solution plus simple
Kantorkel a souligné que les billets devaient être payés à un moment donné et que le pseudonyme ne pouvait donc pas être maintenu tout le temps. Une « connexion directe » avec la personne concernée est nécessaire pour la facturation. Les fournisseurs utilisent également le GPS pour compliquer les abus. Il est possible de tuer l’application « lorsque vous êtes déjà déconnecté ». L’effet que cela aura sur le processus de facturation n’est pas clair.
L’expert exhorte les utilisateurs de Yaniq à se renseigner sur l’historique de leurs données auprès des entreprises de services publics pour expliquer le stockage réel. Bien sûr, il est possible de rendre les choses plus efficaces en matière de données. Il privilégie généralement des tarifs plus simples, par exemple avec un ticket journalier à deux euros ou les transports en commun payants selon l’usage, en groupe « Entrée suffisante » en utilisant l’exemple de Brême. Ce n’était pas non plus la première faille qu’il avait vérifiée dans l’application de billetterie mobile. Au moins dans le cas d’Osnabrück, le processus de déclaration chez Stadtwerke, Siemens et le fournisseur de solutions de billetterie Hambourg eos.uptrade était « très silencieux ». Il a également informé l’autorité de protection des données compétente.
(jk)
« Certified introvert. Devoted internet fanatic. Subtly charming troublemaker. Thinker. »