Les données de plusieurs millions d’utilisateurs de l’entreprise Uber ont été piratées. Il pourrait uniquement s’agir d’un énième cas de piratage informatique. Mais les faits remontent à octobre 2016. Et la direction, au courant de l’affaire, a fait le choix de ne pas en informer ses clients. Ce qui va pourtant à l’encontre de la législation.
Fin 2016, deux hackers sont parvenus à pénétrer le système informatique d’Uber. Ils ont dérobé les informations personnelles de 57 millions d’utilisateurs (noms, adresses email, numéros de téléphone, etc) et de 600 000 chauffeurs (noms et numéros de permis de conduire). Ils n’auraient cependant pas eu accès aux numéros de cartes bancaires ou à l’historique des trajets. Selon Uber, « aucune preuve de fraude ou d’utilisation frauduleuse liées à cet incident » n’aurait été constatée.
« Rien de cela n’aurait dû se produire et je ne vais pas chercher d’excuses », a déclaré Dara Khosrowshahi, l’ancien PDG d’Expedia, nommé à la tête d’Uber en août 2017. Travis Kalanick, cofondateur et ancien PDG, aurait pour sa part été au courant dès novembre 2016. En dissimulant ce piratage massif, Uber a enfreint plusieurs lois américaines qui imposent aux entreprises d’informer leurs utilisateurs dans pareils cas.
Une information gardée sous silence pendant plus d’un an par Uber
En plus d’avoir gardé le secret, l’entreprise aurait décidé de payer les hackers, 100 000 dollars. Le but étant qu’ils effacent toutes les données dérobées et qu’ils gardent le silence sur toute l’affaire. Un arrangement approuvé par Travis Kalanick, selon le New York Times.
Dans un communiqué daté du 21 novembre dernier, le géant des VTC a affirmé surveiller les comptes affectés et avoir renforcé leur protection contre la fraude. « Au moment de l’incident, nous avons immédiatement mis en place les mesures nécessaires pour sécuriser les données et empêcher d’autres accès non autorisés », a déclaré Dara Khosrowshahi.
La dissimulation est une infraction
La dissimulation, aux utilisateurs comme à la Federal Trade Commission (FTC), d’une telle information risque de ne pas être sans conséquence pour Uber. « On ne peut pas lui reprocher d’avoir acheté ou transigé avec les pirates, mais on peut lui reprocher d’avoir dissimulé le piratage […]. Cela, c’est vraiment une infraction », a expliqué sur France Info Nicolas Arpagian, directeur scientifique à l’Institut national des hautes études de la sécurité et de la justice (Inhesj). « Au même moment, Uber était en discussion avec la FTC concernant un piratage survenu en 2014. Uber ne peut donc pas invoquer le fait qu’il n’avait pas de contacts avec l’instance de régulation », a-t-il ajouté.
La protection des données : un sujet majeur en Europe
Les questions liées à la sécurité des données personnelles sont au cœur de très nombreuses discussions ces dernières années. Et la législation, en Europe notamment, tend à renforcer les droits des citoyens dont les données sont traitées et à accroître les obligations des entreprises.
Pour les citoyens européens, savoir que leurs données sont hébergées en Europe, traitées par des prestataires européens et soumises à la législation locale est souvent rassurant. Le niveau de protection des données au sein de l’Union européenne est l’un des plus élevé au monde. Mais les garanties vont plus loin.
Le RGPD (Règlement général sur la protection des données) par exemple, place l’individu au centre des préoccupations. Tous les organismes seront soumis à une obligation de notification des violations de données personnelles aux autorités (CNIL en France). Tout manquement au texte aura de lourdes conséquences pour les entreprises (amendes pouvant aller jusqu’à 4% de leur CA annuel mondial).
