Comment BlaBlaCar protège les données de ses utilisateurs contre la fraude et les cyberattaques (Interview)

BlaBlaCar, mastodonte français du covoiturage, répond aux questions de Clubic sur la cybersécurité de sa plateforme. Son directeur technique, Nicolas Salvy, explique les défis de sécurité auxquels l'entreprise fait face, en marge du salon GO Entrepreneurs.

BlaBlaCar, du haut de ses 29 millions d'utilisateurs actifs, traite un nombre incalculable de données personnelles, de noms, prénoms, numéros de téléphone et paiements en ligne, avec une infrastructure présente dans plus de vingt pays. Autant de cibles potentielles pour des attaquants de plus en plus organisés. Pour les protéger, la plateforme a bâti une stratégie de sécurité en plusieurs couches : elle ne fait confiance à personne par défaut, vérifie en permanence qui accède à quoi, et s'appuie sur des intelligences artificielles capables de détecter les comportements suspects avant qu'ils ne causent des dégâts. Le tout est régulièrement contrôlé par des experts indépendants.

Dans le cadre du salon GO Entrepreneurs, qui a lieu les 15 et 16 avril à Paris La Défense Arena, Nicolas Salvy, le patron technique de la licorne française, détaille pour Clubic comment tout cela fonctionne, et où ça reste compliqué. Le président et cofondateur de la plateforme, Frédéric Mazzella, fait de son côté le point sur son aventure entrepreneuriale.

Phishing, bots, deepfakes : BlaBlaCar détaille ses défenses face aux nouvelles cybermenaces

BlaBlaCar, ce sont des dizaines et des dizaines de millions de membres dans de nombreux pays, avec une activité critique pour la mobilité du quotidien. Dans ce contexte, quels sont aujourd’hui vos principaux risques cyber, très concrètement, et comment vous les priorisez ?

Nicolas Salvy : La communauté des membres de BlaBlaCar est effectivement très étendue autour du monde avec plus de 29 millions d’utilisateurs actifs par an. La protection des données personnelles indispensables au bon fonctionnement de l’application (nom, prénom, téléphone, etc.) est un élément crucial de notre stratégie cyber.

Afin d’analyser et de prioriser la gestion de ces risques, BlaBlaCar dispose depuis des années d’une équipe Sécurité, qui travaille conjointement avec nos équipes juridiques à l'évaluation des menaces et de nos pratiques internes afin de définir une feuille de route permettant de rester pertinent dans la protection de ces données. La politique Cyber doit être en mouvement permanent, les technologies évoluent, les schémas d’attaque se professionnalisent… garder une longueur d’avance nécessite un investissement constant.

Sans rentrer dans des détails trop techniques, notre architecture de protection repose sur plusieurs couches avec un système de défense en profondeur et un modèle dit Zero Trust. Nous avons également recours à des audits externes réguliers et à un mécanisme de bug bounty qui rémunère les hackers éthiques détectant des vulnérabilités dans nos systèmes.

Vous vous appuyez notamment sur Google Cloud Platform et des partenaires comme DataDome pour contrer les prises de contrôle de comptes et les attaques par bots. Comment vous arbitrez entre souveraineté, performance et sécurité quand vous choisissez vos briques technologiques ?

N.S. : BlaBlaCar est une entreprise française déployée à l’échelle mondiale. Nous devons ainsi nous conformer aux réglementations de protection des données personnelles et de localisation de données de chaque pays. Le respect de ces règles par nous-mêmes et nos sous-traitants est une obligation légale.

Nous approchons la reliabilité (disponibilité des plateformes) et la sécurité comme des « features produits », les équipes compliance et sécurité définissent les règles qui s’appliquent à l’ensemble des équipes R&D, chaque équipe doit décliner localement celles-ci en fonction de son contexte (manipulation ou non de données personnelles, besoin de continuité 24/7, capacité de reprise sur panne, etc.).

Chaque choix de fournisseur ou de type d’implémentation est un compromis entre une performance (technique ou fonctionnelle) pouvant générer une friction pour nos utilisateurs et un niveau de sécurité. Par exemple, demander à un « vrai » utilisateur de valider un captcha à chaque utilisation de l’application risque de le faire quitter l’application, ne pas avoir de système de captcha entraînerait une présence non contrôlée de bots. Il nous faut mettre en place des règles, être capables de monitorer leur efficacité et revisiter régulièrement la configuration pour nous adapter à l’évolution des attaques.

Les équipes ont une autonomie assez large, mais les choix les plus critiques peuvent être arbitrés si besoin par des membres du comex.

En tant que plateforme européenne de référence, est-ce que vous vous sentez parfois pris en étau entre les clouds et les normes américaines d’un côté, les exigences de souveraineté numérique européennes de l’autre ? Qu’est-ce qui manque encore à l’Europe pour offrir des solutions de même niveau à une scale-up comme BlaBlaCar ?

N.S. : BlaBlaCar revoit régulièrement ses fournisseurs, les critères de sélection couvrent bien sûr, et en premier lieu, le respect des exigences légales des marchés dans lesquels nous opérons. Nous évaluons chez les fournisseurs respectant ces contraintes leur capacité technique (y compris en termes d’Identity et d’Access Management, redondance multi-zone, qualité du réseau, etc.), la proposition de partenariat, la proposition de valeur…

Les acteurs français proposent des offres de plus en plus compétitives, au niveau des leaders du marché sur de nombreux aspects. La taille mondiale de l’activité de BlaBlaCar et la richesse de l’écosystème nécessaire au développement de notre plateforme nous positionnent dans une case un peu spécifique, que peu de fournisseurs sont aujourd’hui capables de cocher.

Google Cloud est aujourd’hui un excellent partenaire à l’échelle mondiale pour BlaBlaCar, à la fois en termes de respect des différentes normes applicables aux géographies dans lesquelles nous opérons, et dans sa proposition technologique. Les acteurs français et européens représentent pour autant une excellente solution pour de nombreuses sociétés.

La confiance est votre actif numéro un : on monte dans la voiture d’un inconnu, on partage sa position, ses données de paiement, son historique de trajets. Comment vous traduisez cette promesse de confiance dans votre architecture de sécurité et de protection de la vie privée, au-delà du seul respect du RGPD ?

N.S. : Il faut différencier deux types de confiance :

• Celle que la plateforme permet de donner entre les membres, qui se construit via des choix produit (vérification du numéro de téléphone, email, carte d’identité, note globale, note de conduite, commentaires qualificatifs…), et une modération des comportements sur la plateforme. Cette modération s’effectue tout autant avec des modèles d’IA développés en interne qu’avec des solutions du marché spécialisées dans la lutte contre la fraude. En construisant un référentiel de confiance permettant aux utilisateurs d’évaluer la pertinence des profils avec qui ils pourraient être amenés à voyager, en détectant les comportements déviants sur nos applications et en apportant la plus grande attention aux retours que nos utilisateurs font auprès du service client, nous mettons en place les moyens techniques et humains permettant de garantir la qualité des interactions.

• La confiance que les membres peuvent avoir en l’entreprise, sur ce dernier aspect, au delà du RGPD, BlaBlaCar est soumis au règlement PCI DSS (Payment Card Industry Data Security Standard) qui exige un audit annuel externe permettant de valider les normes en vigueur dans l’équipe R&D.

On imagine que BlaBlaCar a dû apprendre à gérer des usages réels, parfois imprévisibles, à très grande échelle. Sur le volet cybersécurité, quel a été votre plus gros « moment de bascule » : un incident, une attaque, une prise de conscience qui a changé votre façon de sécuriser la plateforme ?

N.S. : Je ne dirais pas qu’il y a eu spécifiquement un « moment bascule », mais nous avons dû faire face ces dernières années à une forte professionnalisation des attaques de type phishing ou SMS pumping sur la plateforme. En 2022, un de vos confrères ciblé par une tentative de fraude a communiqué sur Twitter générant une vague d’inquiétude pour une partie de nos utilisateurs.

Pour y répondre de manière pertinente et continue, nous avons, dès 2021, commencé à déployer des systèmes basés sur de l’intelligence artificielle et renforcé la collaboration avec les partenaires fournissant les SaaS antifraude utilisés pour la protection de notre communauté. Notre expertise de la marketplace BlaBlaCar couplée à l’expertise « détection de fraude » de ces sociétés a permis de mettre en place des indicateurs et des protocoles de réponses permettant d’évaluer en permanence la qualité de la marketplace et, si besoin, de déclencher les bonnes réponses.

Ne pas réagir aurait entraîné une croissance de ces usages délétères et une perte de confiance de nos utilisateurs dans la marketplace. La mise en place des bons indicateurs, canaux de communication et protocoles de réponse a depuis été décisive lors de nombreuses attaques.

On parle beaucoup d’IA générative, de deepfakes, de fraudes automatisées. Est-ce que vous voyez déjà ces nouvelles menaces à l’œuvre sur BlaBlaCar (faux profils, faux avis, phishing plus sophistiqué) et comment vous vous adaptez pour protéger vos communautés ? Où mettez-vous la frontière entre automatisation intelligente et maintien d’un contrôle humain, pour ne pas dégrader la confiance entre membres ?

N.S. : La lutte contre la fraude (qu'elle vise des utilisateurs de la plateforme ou directement BlaBlaCar) est un terrain en constante évolution. Chaque nouvelle technologie est une nouvelle opportunité pour un attaquant, et l'utilisation d’IA générative permet d’échapper à des moyens d’action automatisés qui seraient facilement repérables du fait de leur trop grande répétabilité.

De ce fait, une grande partie de surveillance et réponse aux tentatives de fraude se fait de manière automatisée, avec des modèles d’IA grandement développés en interne, cependant devant la professionnalisation des attaques existantes et leur évolutivité, des boucles de contrôles humaines sont bien sûr existantes afin :

• d’analyser des signaux techniques anormaux (volume de création de compte, durée de vie des comptes, nombre de messages, etc.), en étroite collaboration avec nos fournisseurs de services afin de qualifier l’incident,
• d’être capable de mettre en place dans les meilleurs délais une équipe de réponse à incident, faisant intervenir nos ingénieurs, mais aussi des partenaires externes ,
• et de prendre en compte via notre service client le retour de nos utilisateurs. Toute information concernant une mauvaise expérience (qu’il s’agisse de fraude ou de comportements inadaptés) fait l’objet d’une analyse humaine spécifique.

Protéger la marketplace est un jeu du chat et de la souris, nous devons calibrer chaque nouvelle ligne de défense pour qu’elle gêne le moins possible les utilisateurs légitimes tout en bloquant les vecteurs d’attaques industriels. Chaque adaptation de notre part entraînant généralement une évolution de la part de l’attaquant, l’objectif est de créer suffisamment de friction pour réduire au minimum l’intérêt de la poursuite des tentatives.

Vous êtes une des premières « licornes » françaises, très exposée médiatiquement. Quel rôle un acteur comme BlaBlaCar devrait-il jouer, selon vous, dans le débat public sur la souveraineté numérique : plaidoyer, mutualisation d’infrastructures, partage de bonnes pratiques de sécurité… ?

N.S. : BlaBlaCar est une entreprise française qui opère dans plus de vingt pays, nous avons une responsabilité dans le choix de nos partenaires afin qu’ils puissent garantir, partout où nous opérons, le respect des normes applicables. Nos choix de fournisseurs répondent à ce besoin et à un niveau d’exigence technique suffisant pour absorber la richesse de notre plateforme.

La French Tech est un écosystème très riche, nous sommes heureux de pouvoir partager via des articles des conférences ou des podcasts nos retours d’expérience, et de bénéficier de ceux de nos confrères : beaucoup de sujets (dans la technique pure ou la cybersécurité) sont similaires. Bénéficier du retour d’expérience des uns et des autres est extrêmement positif.

Lors du salon Go Entrepreneurs, vous participerez à la conférence « Garder la flamme : ce qui nourrit l’envie d’entreprendre ». Que vous inspire ce sujet, si vous deviez nous donner un petit avant-goût ?

Frédéric Mazzella : Créer un projet est avant tout une question d’intention, et aussi en ce qui me concerne, une question de volonté d’être utile socialement, c'est-à-dire de construire quelque chose qui soit utile au monde de manière générale, aux personnes comme à l'environnement. C’est cette intention que l’on peut appeler la flamme de l’entrepreneur, et en ce qui me concerne, elle ne me quitte jamais. Je l’entretiens en me nourrissant de mes interactions quotidiennes non seulement avec mes proches personnellement et professionnellement comme chacun, mais aussi en restant en permanence informé des évolutions sociétales au sens large, et des technologies nouvelles auxquelles nous avons accès, que je considère comme des moyens : je tente toujours de me demander à quoi telle ou telle invention ou technologie nouvellement accessible pourrait bien servir, pour résoudre un problème de société !

Si je pousse l’analyse un peu plus loin, cette envie d’être utile, à grande échelle, trouve sa récompense en ce qui me concerne dans les « merci » que je reçois une fois que j’ai réussi à déployer un nouveau projet, et qu’il est utile. Merci est le mot le plus puissant du monde, car il donne justement envie à chacun de faire les choses bien, pour être remercié. C’est un créateur et un fédérateur d’énergie.

C’est ainsi que BlaBlaCar est né, pour rendre service aujourd’hui à des dizaines de millions de personnes sur la planète dans leurs déplacements et également pour optimiser nos dépenses d'énergie et diminuer la pollution atmosphérique liée à nos déplacements. Aujourd’hui, BlaBlaCar permet d’économiser plus de 4 millions de tonnes de CO2 chaque année, grâce au simple partage d’usage des véhicules que la technologie d’aujourd’hui nous permet d’orchestrer. C’est également ainsi qu'est né Dift, le nouveau projet que j’ai récemment lancé, qui est une plateforme de générosité qui aiguille déjà des millions d’euros vers des centaines d’associations agissant dans des domaines sociaux et environnementaux, grâce à des centaines d’entreprises engagées qui impliquent leurs clients et leurs collaborateurs dans une démarche positive de soutien au bien commun. Ensuite, cette flamme, pour être parfaitement satisfaite, doit se nourrir par l’exécution : une idée et une ambition sont nécessaires, mais rien ne remplace le travail exigeant et persévérant pour faire sortir de terre de grands projets, c’est pourquoi un entrepreneur se doit d’être à la fois rêveur et bâtisseur, en utilisant son cerveau gauche et son cerveau droit !

Le mot de Clubic : Entre le phishing, les bots industriels et l'IA générative au service des attaquants, BlaBlaCar incarne, malgré elle, un laboratoire grandeur nature des tensions qui traversent tout l'écosystème numérique européen. La vraie leçon que l'on retient de cet échange avec Nicolas Salvy, c'est peut-être que la sécurité n'est jamais un état stable, mais un mouvement permanent. Et pendant que les équipes blindent les serveurs, Frédéric Mazzella, lui, garde les yeux rivés sur un autre horizon, celui qui consiste à transformer chaque technologie en levier d'utilité sociale. Les deux visions, loin de s'opposer, font finalement la cohérence d'une entreprise française qui a grandi vite, et appris, parfois à ses dépens, ce que veut dire bâtir la confiance à l'échelle mondiale.