Faille : pour Waze, vos données ne sont pas en danger

Première publication le 27/4/16

Les millions de conducteurs, qui utilisent l’application de trafic communautaire Waze, peuvent être espionnés quotidiennement. C’est ce qu’on découvert des chercheurs de l’Université de Californie à Santa Barbara. Pour montrer l’étendue de leur découverte, ils ont suivi une journaliste du site Fusion durant trois jours, y compris dans le bus ou un taxi.

Des milliers de "voitures fantômes"

Pour fonctionner, Waze communique avec nos smartphones grâce à une connexion sécurisée… en théorie, puisque c’est justement cette communication qui a été interceptée par les chercheurs. Ils sont parvenus à se placer entre les serveurs de l’application et l’utilisateur pour intercepter toutes les données. Dans cette situation, ils ont pu étudier en détails le fonctionnement des algorithmes de Waze.

Mieux - ou pire, selon le point de vue, ils ont communiqué avec ces serveurs pour créer des milliers de “voitures fantômes”. De cette manière, ils pouvaient non seulement générer de faux embouteillages mais également épier tous les conducteurs se situant autour de chaque voiture. Il leur suffisait alors d’envoyer ces “conducteurs fantômes” quadriller une zone pour avoir un œil sur tout un quartier, voire beaucoup plus. Les voitures virtuelles peuvent aussi être programmées pour suivre un utilisateur en particulier.

Peu de solutions pour l'utilisateur

Ben Zhao, qui a dirigé l’équipe de recherche, a informé Waze de sa découverte il y a plusieurs mois. Depuis, l’application rachetée par Google en 2013 a procédé à une mise à jour. Lorsque Waze est ouverte en tâche de fond, les données de géolocalisation ne sont plus partagées avec les conducteurs situés à proximité. Mais la faille reste d’actualité lorsqu’on l’utilise en premier plan. Seule solution, utiliser le mode invisible... qui se désactive automatiquement à chaque redémarrage de l’appli.

Selon Ben Zhao, sa méthode pourrait permettre de surveiller l’intégralité de la population américaine “en utilisant quelques serveurs de plus”. Nos trajets pourraient même être enregistrés puis mis à disposition de tous. Et le problème, c’est que Waze n’est pas le seul concerné. “Nous avons étudié de nombreuses applications. Presque toutes ont ce type de failles”, précise Zhao à Fusion. “Nous ne savons pas comment stopper cela” s’inquiète-t-il. Les utilisateurs de Waze ont toutes les raisons de l'être aussi...

Sur son blog, Waze a réagi à l’article de Fusion. L’équipe revient notamment sur la création de “voitures fantômes”... en admettant en générer elle-même, notamment pour que l’utilisateur se sente moins seul dans les zones peu fréquentées. Pour contrer les arguments de Kashmir Hill - la journaliste de Fusion, le billet rappelle qu’elle avait la volonté d’être suivie en communiquant le nom de la ville où elle se trouvait. Un raisonnement auquel on pourra objecter qu’il est relativement aisé de trouver l’adresse ou le lieu de travail de nombreuses personnes. Enfin, Waze a annoncé avoir mis en place des garde-fous pour empêcher qu’une telle situation se reproduise, sans donner davantage de précisions.