Nous avons été contacté⋅e⋅s en mai dernier par Le MédiaTV dans le cadre d’une enquête autour des coursier⋅e⋅s à vélo. Le journaliste souhaitait en savoir plus sur l’application Deliveroo Rider (utilisée par les coursier⋅e⋅s) et quels types de données celle-ci pouvait collecter. Cela correspondait aussi par ailleurs à notre souhait de développer des analyses approfondies d’application et de les publier sur ce blog. La vidéo du Média nous permet donc d’inaugurer ce nouveau type d’articles, avec lequel nous vous proposons de détailler la méthode et les résultats complets.
La plate-forme d’analyse εxodus permet de connaître le nombre de pisteurs dans une application. Ainsi, pour la version 19.06.24_14235 de l’application Deliveroo Rider, nous avons détecté 4 pisteurs. Cette analyse, dite « statique » a une double limite :
C’est pourquoi nous utilisons le travail d’un projet libre intitulé PiRanhaLysis qui permet de faire de l’analyse dynamique. Comme expliqué dans l’enquête du Média TV, l’analyse avec le boîtier PiRogue permet d’intercepter et d’observer les données transmises par le téléphone, pendant l’utilisation d’une application (ici, Deliveroo Rider).
Le téléphone utilisé ici est un Samsung SM-G361F, sous Android 5.1.1. Les résultats d’analyse peuvent bien sûr varier en fonction du téléphone utilisé et de son système d’exploitation.
L’analyse du trafic met en évidence des envois de données vers plusieurs destinations :
Deliveroo
;Appboy
, devenu depuis Braze, une régie publicitaire un gestionnaire de données client⋅e⋅s et de marketing ;Segment
, un analyseur de comportement1 ;Instabug
un logiciel permettant d’envoyer rapports de bugs et crashs.Parmi les données envoyées, nous trouvons à la fois des données relatives au téléphone et à l’usage qui est fait de l’application, parfois liées à des identifiants uniques, comme l’advertisingID2 ou le numéro Deliveroo du coursier ou de la coursière.
Plus précisément, si on reprend chaque envoi de données (qui interviennent de façon régulière) :
userID
), l’identifiant publicitaire (l’advertisingID
), l’identifiant unique Android (l’id
) 3, l’opérateur téléphonique (le carrier
), le modèle de téléphone, la résolution de l’écran, si le téléphone est connecté en WiFi…Par cette analyse, nous avons pu démontrer que des données, y compris certaines permettant d’identifier une personne avec précision, partaient chez des sociétés tierces par le biais de pisteurs inclus dans l’application Deliveroo Rider.
Nous tenons à remercier les équipes du MédiaTV qui ont travaillé avec nous avec un professionnalisme indéniable et nous espérons que ce billet vous aura intéressé. Merci également au projet Piranhalysis pour ces outils d’analyse.
Si vous avez des questions, n’hésitez pas à nous contacter et surtout, n’oubliez pas de nous soutenir pour que nous puissions continuer à développer de telles analyses. En effet, nous allons essayer de publier ces Focus sur… à intervalles plus ou moins réguliers.