En octobre 2016, 57 millions de clients d’Uber ont été victimes du vol de leurs données personnelles. Pour réparer ce que la CNIL considère comme la conséquence de manquements de l’entreprise à ses obligations de mettre les informations de ses utilisateurs à l’abri, la société américaine devra payer 400 000 euros d’amende.
Données insuffisamment sécurisées
Le jeudi 20 décembre 2018, Uber s’est vu infliger par la Commission nationale de l’informatique et des libertés (CNIL) une amende de 400 000 euros. Cela fait suite à l’affaire du vol d’informations de 57 millions de clients de l’entreprise technologique américaine. L’organisme estime notamment que cette dernière n’a pas fait assez d’efforts pour sécuriser les informations personnelles de ses utilisateurs. La sanction n’aurait pas été assez rude si Uber n’avait pris 1 an pour annoncer publiquement l’existence de ce piratage. Entre temps donc, des noms, des adresses e-mail et des numéros de téléphone étaient dans les mains des pirates, mais l’entreprise américaine a préféré garder le silence. La vague de vols de données n’a pas épargné la France qui a vu 1,4 million de personnes établies sur son territoire faire partie de la liste des victimes. Depuis, une enquête a été ouverte sur demande des CNIL européennes réunies sous l’entité G29. Elle a permis de savoir que les pirates ont pu, en premier lieu, atteindre les « identifiants stockés en clair sur la plate-forme collaborative de développement », avant de parvenir, en utilisant lesdits identifiants, au serveur de stockage des données. Pour la commission française, ces personnes malveillantes n’auraient pas pu atteindre leurs objectifs si Uber avait déployé des moyens efficaces de protection des données de ses utilisateurs. C’est ce qui l’a poussé à lui infliger cette amende assez salée.
GitHub aurait été une grande aide sécuritaire
La CNIL se demande encore aujourd’hui pourquoi Uber n’avait pas pensé à GitHub pour accroître la sécurité de son serveur. Celui-ci lui aurait, par exemple, permis de profiter des vertus d’une mesure d’authentification forte, à l’instar de la double authentification. Rappelons que cette dernière permet de sécuriser à la fois via un mot de passe et un code secret reçu par téléphone ou un autre moyen. Sur GitHub, par ailleurs, il n’y a pas besoin de préserver en clair des identifiants donnant la possibilité d’atteindre le serveur. La protection aurait, de plus, pu être renforcée par un système de filtrage des adresses IP.
La sanction aurait pu encore être plus vigoureuse, mais heureusement pour l’entreprise américaine, les faits étaient datés avant la mise en vigueur du RGPD. Sinon, elle pourrait valoir 4% de son chiffre d’affaires. Uber a déclaré avoir retenu les leçons de cette affaire. Comment ne pas l’être après avoir subi une série de sanctions du genre ? Rappelons en effet que, pour la même affaire, elle devait 600 000 euros à la CNIL néerlandaise et 426 000 euros à la CNIL britannique. Par ailleurs, elle a intérêt à regagner la confiance de ses utilisateurs. Ce qui devrait impliquer de grands changements au niveau de son management et de son organisation.