En octobre 2016, les noms, adresses email et numéros de téléphone de 57 millions d’utilisateurs Uber, dont 7 millions de chauffeurs, ont été dérobés.
À voir aussi sur Konbini
Et un scandale de plus pour Uber. Le 21 novembre, le PDG de l’entreprise de transport, Dara Khosrowshahi, a admis dans un communiqué que la compagnie a couvert un piratage massif des données personnelles de 57 millions d’utilisateurs, dont 7 millions de chauffeurs, survenu en octobre 2016. Un mea culpa extrêmement tardif qui intervient à la suite de la publication d’une information de Bloomberg, le 21 novembre, qui révèle non seulement comment l’entreprise s’est fait pirater mais également comment elle a couvert la fuite pendant plus d’un an sans en informer les utilisateurs.
Selon les informations de Bloomberg, les données volées incluraient les noms, adresses électroniques et numéros de téléphone des utilisateurs du service, ainsi que les permis de conduire de 600 000 chauffeurs nord-américains, des informations confirmées par le PDG de l’entreprise, qui affirme également sur la base d’expertises externes que les numéros de Sécurité sociale, informations bancaires, historiques des trajets ou autre type de données n’auraient en revanche pas été concernés par le piratage.
100 000 dollars de rançon, deux employés virés
Dara Khosrowshahi, nommé en août dernier après le départ tonitruant de Travis Kalanick sur fond de scandales de harcèlement sexuel, précise qu’il n’a été mis au courant de l’incident que “récemment” (“en novembre 2016”, précise Bloomberg), tout en admettant que “rien de tout cela n’aurait dû se produire.” Selon sa version de l’histoire, Uber aurait “pris des mesures immédiates pour sécuriser les données” après avoir “identifié les individus et obtenu garantie que les informations téléchargées avaient été détruites”. Une déclaration un peu vague, que l’article de Bloomberg s’empresse de clarifier : informé de l’attaque, le chef de la sécurité de l’entreprise, Joe Sullivan, aurait pris la décision de payer la rançon de 100 000 dollars exigée par les pirates en échange de la destruction des données volées… et de leur silence.
Le chef de la sécurité, ainsi qu’un autre employé impliqué dans la dissimulation de la faille, ont depuis été remerciés. Car au-delà de l’amateurisme affiché par l’entreprise dans cette histoire (sans rentrer dans les détails, disons que les identifiants de connexion des développeurs réseau de l’entreprise traînaient sans précaution sur GitHub) et de l’absence d’éthique de l’entreprise, des questions légales émergent également : à l’époque de l’attaque, rappelle Bloomberg, Uber était alors en pleine négociation avec des régulateurs américains pour statuer sur… son rapport aux données personnelles. L’entreprise avoue elle-même qu’elle devait transmettre l’information de l’attaque aux régulateurs et, plus important encore, aux conducteurs affectés par le vol de données personnelles.
Uber peut-elle être considérée pénalement responsable et attaquée en justice ? Pas pour autant, explique le Guardian : aux États-Unis, tout dépend de l’État dans lequel sera instruite l’affaire, les législations statuant les responsabilités des entreprises dans les cas de vols de données personnelles différant selon les régions.
Au-delà des questions légales, ce piratage illustre au moins deux situations : premièrement, il entérine le fait que les Américains vont devoir s’habituer à vivre au rythme des vols massifs de données, alors qu’une formidable série est en cours depuis 2017 (Yahoo, Target, Anthem, et plus récemment Equifax) ; deuxièmement, il révèle à Khosrowshahi et ses équipes le long chemin qui reste à parcourir à Uber vers la respectabilité.
“Nous sommes en train de changer notre manière de faire du business, en mettant l’intégrité au cœur de chaque décision que nous prenons”, rassure le nouveau PDG dans son communiqué. L’ombre de Travis Kalanick et de sa cohorte de casseroles n’a pas fini de planer sur l’entreprise, alors que Londres vient de refuser de renouveler sa licence et qu’elle vient d’annoncer 2,8 milliards de dollars de pertes en 2016.
