Uber piraté : enquêtes en série sur cet incident gardé secret
Des États-Unis à l’Australie, le piratage qu’Uber a dissimulé pendant plus d’un an attire l’attention des régulateurs.
Il fallait s’y attendre : le piratage d’Uber a un retentissement mondial… tout du moins chez les régulateurs.
Des États-Unis à l’Australie en passant par le Royaume-Uni et les Philippines, les autorités chargées de veiller à la protection des données personnelles se penchent sur cet incident gardé secret pendant plus d’un an.
Survenue en octobre 2016, l’attaque a entraîné la fuite d’informations rattachées à 57 millions de comptes d’utilisateurs (7 millions de chauffeurs ; 50 millions de passagers).
Elle n’aurait été que très récemment découverte, dans le cadre d’une enquête indépendante que le conseil d’administration aurait diligentée pour mieux cerner les activités de l’équipe sécurité d’Uber.
Les données volées se trouvaient sur un espace cloud – vraisemblablement Amazon Web Services – auquel les pirates ont accédé grâce à des identifiants de connexion recueillis sur un dépôt GitHub privé exploité par les équipes d’ingénieurs d’Uber.
Plutôt que d’en notifier les victimes et les autorités, la firme a choisi d’acheter, pour 100 000 dollars, le silence des assaillants. Travis Kalanick, le CEO d’alors, aurait donné son accord à la démarche, à en croire le New York Times.
Une situation qui déplaît à l’Information Commissioner’s Office. L’homologue britannique de notre CNIL émet de « sérieux doutes » sur l’éthique d’Uber. Elle rappelle que « dissimuler délibérément » des failles de sécurité peut entraîner des amendes d’un montant maximum de 500 000 livres sterling.
Un accord en suspens
Transport for London scrute aussi le dossier. L’autorité régulatrice des transports à Londres affirme avoir sollicité davantage d’informations afin de s’assurer que les protections adéquates ont été mises en place pour protéger les données des chauffeurs et passagers inscrits dans la capitale britannique.
Les lignes bougent également aux États-Unis, où la quasi-totalité des États disposent d’une loi qui impose de révéler les failles aux autorités, ainsi qu’aux victimes, au moins celles dont des données sensibles ont été exposées.
Des enquêtes ont été lancées dans le Connecticut, l’Illinois, le Massachusetts, le Missouri, le New Hampshire… ainsi que l’État de New York, sous la houlette du procureur général Eric Schneiderman, qui a déjà sanctionné Uber l’an dernier au titre d’une exploitation abusive de données.
La Federal Trade Commission, qui veille à l’application du droit à la consommation sur le sol américain, s’intéresse elle aussi aux « sérieux problèmes » que pourrait soulever l’affaire.
D’aucuns l’appellent à réviser un accord trouvé l’an dernier avec Uber et qui doit encore être entériné (l’entreprise a été condamnée pour avoir trompé les consommateurs sur la réalité du traitement de leurs données).
Uber devra surveiller un autre front, judiciaire en l’occurrence : une première tentative de recours collectif a été recensée mardi à Los Angeles.
Sous le régime du règlement européen sur la protection des données (RGPD), les entreprises qui gèrent des données à caractère personnel rattachées à des citoyens de l’UE devront communiquer les failles de sécurité au plus tard 72 heures après en avoir eu connaissance, sous peine d’une amende pouvant atteindre 4 % de leur chiffre d’affaires annuel.