Le téléphone de gauche est celui de l’utilisateur original de l’application. Ce dernier vient d’entrer dans le parking du Fort Neipperg grâce à l’accès à la demande. Pourtant, rien ne l’indique sur son écran. Ceci parce que la notification de stationnement a été envoyée sur le téléphone du deuxième utilisateur (à droite), qui s’est inscrit pour traquer le premier. (Photo: Paperjam)

Le téléphone de gauche est celui de l’utilisateur original de l’application. Ce dernier vient d’entrer dans le parking du Fort Neipperg grâce à l’accès à la demande. Pourtant, rien ne l’indique sur son écran. Ceci parce que la notification de stationnement a été envoyée sur le téléphone du deuxième utilisateur (à droite), qui s’est inscrit pour traquer le premier. (Photo: Paperjam)

En détournant l’application de stationnement Indigo Neo adoptée par la Ville de Luxembourg, il est possible de savoir où une personne se gare, sans que celle-ci soit au courant. Cela touche uniquement les parkings concernés par l’accès à la demande. Explications.

Alix se gare tous les matins au Fort-Neipperg, à Luxembourg-Ville, à deux pas de son bureau. Depuis le 1er juin, plus besoin de prendre de ticket pour entrer, les barrières du parking couvert s’ouvrent automatiquement en scannant sa plaque d’immatriculation. C’est parce qu’Alix a téléchargé . Pratique? C’était compter sans Lou, qui a décidé de télécharger cette même application. Mais au lieu d’entrer sa propre plaque, Lou a entré celle d’Alix. Dès lors, Lou reçoit une notification qui lui indique lorsqu’Alix entre ou sort du Fort Neipperg.

Pourquoi faire cela? Peut-être parce que Lou veut cambrioler la maison d’Alix et s’assurer que la voie est libre. Ou bien Lou et Alix forment un couple et Lou veut vérifier qu’Alix ne fasse pas de détour avant ou après son travail. Ou pour les mêmes raisons, bien qu’Alix et Lou ne soient pas en couple. Ou des tas d’autres possibilités, plus ou moins avouables.

Quoiqu’il en soit, le fait est que l’application permet de suivre le stationnement de quelqu’un.

Une faille mise en avant par le développeur d’applications Thibault Milan. Paperjam a donc testé, avec lui. Chacun son téléphone, chacun son appli, avec chacun son compte bancaire. Mais une seule et même plaque d’immatriculation. Résultat: c’est bien le dernier à avoir autorisé l’accès à la demande qui obtient les informations de stationnement. Et le premier ne reçoit aucune notification pour lui indiquer que quelqu’un d’autre s’est enregistré avec le même véhicule que lui.

Le traqueur paiera la facture

La seule façon de s’en rendre compte, pour l’utilisateur «honnête», vient du fait qu’à partir du moment où celui «malhonnête» a enregistré sa plaque pour le suivre, le premier ne reçoit plus son habituelle notification ni les informations de stationnement dans son application. Et c’est la deuxième personne qui paiera la facture. Des détails qui peuvent passer inaperçus au départ, si on n’est pas au courant…

Pour résoudre ce problème au Luxembourg, «on pourrait demander à l’utilisateur de prendre en photo la carte grise», imagine Thibault Milan – tout en montrant qu’on peut facilement accéder à l’application avec un nom ou une adresse totalement fictifs, tant que compte bancaire et plaque sont réels.

Un moyen de s’assurer que la personne qui utilise l’application a aussi accès aux papiers du véhicule enregistré. Mais qui ne règle pas le problème de suivi par des proches de la victime, par exemple. Le développeur lance alors l’idée d’un système de partage, avec la possibilité pour l’utilisateur principal d’ajouter lui-même d’autres personnes. «Rien qu’une notification» quand quelqu’un d’autre enregistre notre plaque, pourrait déjà grandement aider.

Une faille limitée à l’accès à la demande

Bonne nouvelle pour ceux qui stationnent dans la rue: le problème ne semble concerner que les parkings avec barrières, où l’option d’accès à la demande est disponible. Thibault Milan et Paperjam ont réalisé le même test en se garant en plein air, boulevard de la Pétrusse. Ici, c’est à l’automobiliste d’ouvrir l’application et d’y sélectionner sa zone de stationnement. Dans ce cas, le compte «malhonnête» ne reçoit aucune information.

Contactée, la Ville de Luxembourg affirme ne «pas avoir connaissance des faits rapportés» et attendre un retour du fournisseur de l’application.

Ce dernier – le groupe Indigo – admet à Paperjam que, pour l’accès à la demande, «le risque d’utilisation frauduleuse est techniquement possible, mais repose sur le fait qu’un tiers paiera le stationnement de l’utilisateur dont la plaque a été saisie». Comportement qui, selon l’entreprise, «fera très probablement l’objet d’un signalement à notre service client, la situation étant bien évidemment anormale».

Interrogée sur la possibilité de demander une photo de la carte grise par exemple, elle répond que la reconnaissance de plaque utilisée «permet d’adresser des cas d’usage très usuels pour lesquels l’utilisateur d’un véhicule n’en est pas forcément le propriétaire. Par exemple, le cas de membres d’une même famille ayant chacun un compte chez Indigo Neo avec un moyen de paiement différent, mais qui se partagent le même véhicule. C’est en raison de ce type d’usages, qui peuvent se décliner également pour des petites entreprises, que les restrictions n’ont pas été retenues par l’industrie.»

Pas de grandes modifications prévues, donc. «À la suite de la connaissance de ces cas spécifiques (et rarissimes), nous avons pris des mesures pour nous renforcer nos et ainsi être capables de prendre des mesures en cas d’utilisation frauduleuse qui serait identifiée.» On y lit désormais que «l’utilisateur s’engage à ne renseigner que des plaques d’immatriculation de véhicules dont il est le propriétaire ou l’utilisateur légitime».

Enfin, Indigo Neo a «mis en place une revue des comptes utilisateurs qui pourraient être considérés comme à risque. Si un comportement à risque est identifié, nous avons ainsi la possibilité de clôturer le compte en question.»

Articles Associés