Les données de 57 millions d'utilisateurs d'Uber ont été piratées en 2016. La société a préféré céder au chantage des pirates plutôt que de rendre l’affaire publique. Un choix contestable qui risque de lui coûter très cher. © Bartsadowski, Fotolia

Tech

Uber : les données de 57 millions d'utilisateurs piratées

ActualitéClassé sous :Sécurité , piratage , Uber

Uber vient d'avouer qu'il avait été victime d'un piratage massif fin 2016. Ce dernier a permis à des cyberdélinquants de dérober une partie des données personnelles de 57 millions d'usagers et chauffeurs. Le service de VTC a cherché à étouffer l'affaire en acceptant d'acheter le silence des auteurs contre une rançon de 100.000 dollars.

Malgré sa puissance et sa renommée mondiale, Uber a préféré verser une rançon à des pirates informatique pour acheter leur silence et tenter d'étouffer une affaire très embarrassante. Fin 2016, le service de voiture de transport avec chauffeur (VTC) a été la cible d'une intrusion sur des serveurs hébergés par GitHub qui a conduit au vol de données personnelles de 57 millions d'utilisateurs, dont près de 7 millions de chauffeurs Uber.

L'information vient seulement d'être rendue publique par l'entreprise suite à un article de Bloomberg révélant qu'au moment des faits, Uber a accepté de verser une rançon de 100.000 dollars pour que les pirates détruisent les données dérobées et gardent le silence sur cette affaire. Dans un communiqué de presse diffusé dans la foulée de ces révélations, Dara Khosrowshahi, nouveau PDG d'Uber nommé en août dernier, se livre à une opération transparence en donnant des détails sur les conditions de ce piratage massif.

Les données des 57 millions de comptes Uber qui ont été compromis contenaient les noms, adresses de courrier électronique et numéros de téléphone. Parmi les victimes, figurent donc 7 millions de chauffeurs Uber, dont 600.000 d'entre eux basés aux États-Unis ont vu leur numéro de permis de conduire dérobé. Uber assure aujourd'hui que les pirates n'ont pas mis la main sur des informations bancaires, numéros de sécurité sociale, dates de naissance ou historiques individuels des trajets.

Dara Khosrowshahi a pris la direction d’Uber en août dernier. Il a la lourde tâche de sortir Uber de ses démêlés judiciaires, de renouveler la culture d’entreprise et de préparer l’entrée en bourse de la société. © George Grinsted, Wikimedia Commons, CC by-sa 2.0

Uber a payé la rançon pour acheter le silence des cyberpirates

Voici comment le piratage s'est déroulé. Deux assaillants ont pu accéder à des comptes GitHub privés utilisés par des développeurs d'Uber et s'emparer d'identifiants et de mots de passe. Ils ont ensuite utilisé ces informations pour se connecter à un espace en ligne d'Uber sur le service cloud Amazon Web Services et sont tombés sur une base de données contenant les informations sur des clients et des chauffeurs. Ils ont alors pris contact avec l'entreprise pour la faire chanter et obtenir le paiement de la rançon.

Uber affirme que des mesures de sécurité ont été immédiatement prises pour sécuriser les données et les accès. Mais l'entreprise a choisi de taire l'incident alors que la loi américaine l'obligeait à communiquer l'information au public et aux autorités concernées. À l'époque des faits, Uber venait juste de trouver un accord amiable avec le procureur général de New York sur une précédente affaire de vol de données et négociait avec la Federal Trade Commission au sujet de sa gestion des données des utilisateurs. Un contexte délicat qui a sans doute incité les responsables d'Uber à opter pour le mensonge.

Des procès en cascade

Face à cette situation, le nouveau patron d'Uber tente d'éteindre l'incendie en annonçant une série de mesures. Le directeur de la sécurité et l'un de ses adjoints ont été licenciés. Les chauffeurs dont le numéro de permis de conduire a été compromis ont été prévenus et bénéficient d'un programme de protection contre le vol d'identité. Mais les répercussions de cette affaire sont encore imprévisibles. Déjà, Uber fait l'objet d'une plainte en recours collectif (class action en anglais) pour négligence qui vient d'être déposée au nom des clients et chauffeurs Uber lésés. De plus, le procureur général de New York a immédiatement ouvert une enquête dans la foulée de ces révélations.

Uber risque de lourdes sanctions financières. Un problème de plus alors que l'entreprise est dans la tourmente depuis quelques mois. Aux États-Unis, plusieurs enquêtes sont en cours pour des faits de corruption, de vol de propriété intellectuelle et d'usage de logiciels prohibés. L'entreprise fait l'objet d'une dizaine de procès et a été mise à l'index pour sa culture interne jugée sexiste et brutale. En juin dernier, Travis Kalanick, cofondateur et PDG d'Uber, a été poussé à la démission par les actionnaires, inquiets de voir la situation dégénérer.

  • Uber est sur la sellette depuis plusieurs mois, tant pour ses pratiques commerciales que pour sa culture d’entreprise.
  • Le service de VTC a été victime d’un vol massif de données en octobre 2016 qu’il a choisi de cacher en payant une rançon de 100.000 dollars.
  • L’entreprise s’expose désormais à des poursuites et des sanctions financières potentiellement très lourdes.