Piratage d'Uber : la France demande des éclaircissements
Et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD

Le , par Stéphane le calme, Chroniqueur Actualités
Uber a déclaré que 57 millions de ses comptes ont été touchés par un piratage dont elle a été la victime en 2016. Cependant, après avoir caché cet épisode pendant un an, l’entreprise n’a toujours pas donné de détails en fonction des pays touchés.

Une situation qui n’a pas été du goût de la France. Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage.

« Face au danger que représente l’exploitation de ces données, je souhaite vous exprimer mon inquiétude quant à l'éventuelle présence en très grand nombre de clients et chauffeurs français dans cette liste.

« À ce jour et à notre connaissance, vous n’avez pas signalé cet incident auprès des autorités françaises et notamment auprès de la Commission nationale informatique et liberté ou de l’Agence nationale de sécurité des systèmes d’informations, ni auprès des utilisateurs concernés. Au regard du nombre de vos clients, vous avez une importance qui vous donne une responsabilité. L’entrée en vigueur du règlement général pour la protection des données est prévue pour mai 2018 et il établira des obligations de notification pour de pareils cas. Au regard du danger existant, nous souhaiterions que vous informiez volontairement les utilisateurs concernés ainsi que les autorités françaises.

« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quels types sont les données qui ont été dérobées, quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ?

« Le signalement aux autorités et aux utilisateurs est le seul moyen de protéger les victimes et de limiter les conséquences de ces fuites. »

Selon Uber, les noms, adresses électroniques et numéros de téléphone des victimes ont été subtilisés. Le groupe américain de réservation de voitures avec chauffeur affirme qu'aucune information bancaire n'a été exfiltrée, pas plus que les dates de naissance et les historiques de trajets.

Ce qui n’arrange pas la situation c’est qu’Uber a d’abord informé une banque japonaise, Softbank, trois semaines avant de dévoiler le piratage à ses utilisateurs et aux autorités compétentes. Softbank est actuellement en discussion avec Uber pour investir dans l’entreprise. « Nous avons informé Softbank que nous enquêtions sur une fuite de données, en conformité avec notre devoir d’information envers un investisseur potentiel, même si l’information dont nous disposions à l’époque était préliminaire et incomplète », s’est justifié Uber dans un communiqué. « Nous avons également précisé qu’une enquête était en cours. Une fois que nous l’avons achevée, nous avons eu une compréhension plus complète des faits et nous avons alors informé les régulateurs et nos clients. »

La France n’est pas la seule à s’inquiéter et à demander des comptes à l’entreprise de transport. En effet, dans plusieurs pays, les autorités de protection des données personnelles ont annoncé l’ouverture d’enquêtes sur ce piratage et la façon dont Uber l’a gérée, comme au Royaume-Uni, en Australie ou encore aux Philippines. En Europe, le G29, qui rassemble les gendarmes européens de la vie privée et qui est actuellement présidé par la présidente de la CNIL française Isabelle Falque-Pierrotin, a prévu de se réunir cette semaine à ce sujet, afin d’envisager une coordination des enquêtes. Manque de transparence, obligations d’information et de sécurité non respectées, etc. Les régulateurs ont de quoi sanctionner.

Aux États unis, les procureurs de six États ont également commencé à se pencher sur la question, aux côtés de la Federal Trade Commission, l’autorité américaine chargée de la protection des consommateurs. Aux États-Unis comme dans un certain nombre d’autres pays, la loi impose aux entreprises victimes d’une fuite de données d’en informer les victimes potentielles.

Parallèlement, deux recours collectifs ont été lancés contre Uber aux États-Unis, lui reprochant de ne pas avoir révélé plus tôt le piratage, arguant que cela porte préjudice à ses clients.

Source : Le Monde, Reuters


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de earhater earhater - Membre confirmé https://www.developpez.com
le 27/11/2017 à 11:11
Bon pour une fois on peut être d'accord avec notre gouvernement numérique. Cette histoire passée sous silence c'est quand même une sale histoire. Ils pourraient au moins donner les mot de passes piratés au service Have I been pwned ..
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 28/11/2017 à 4:55
Citation Envoyé par earhater Voir le message
... Ils pourraient au moins donner les mot de passes piratés au service Have I been pwned ..
NON, NON et NON
On ne donne pas son mot de passe à ce site.
A la limite, si on lui fait confiance, on donne un identifiant ou une adresse email, mais PAS UN MOT DE PASSE. D'ailleurs le site ne fonctionne pas comme cela.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 28/11/2017 à 9:00
Citation Envoyé par Namica Voir le message
On ne donne pas son mot de passe à ce site.
A la limite, si on lui fait confiance, on donne un identifiant ou une adresse email, mais PAS UN MOT DE PASSE. D'ailleurs le site ne fonctionne pas comme cela.
Par "donner les mots de passes piratés", je présume qu'il voulait dire "dire quels sont les comptes dont les mots de passes ont fuités".

C'est juste un abus de langage.
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 28/11/2017 à 14:35
Citation Envoyé par Neckara Voir le message
Par "donner les mots de passes piratés", je présume qu'il voulait dire "dire quels sont les comptes dont les mots de passes ont fuités".

C'est juste un abus de langage.
Pas d'accord non plus.
C'est le client qu'il faut informer et non communiquer à un tiers identifiant ou email sans le consentement du dit client.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 28/11/2017 à 14:41
Citation Envoyé par Namica Voir le message
C'est le client qu'il faut informer et non communiquer à un tiers identifiant ou email sans le consentement du dit client.
Les identifiants et e-mails étant déjà dans la nature, je ne suis pas sûr qu'il y ai un problème à ce niveau.

D'autant plus que ce service a pour but de permettre aux clients de vérifier si les comptes associés à une de leur adresse e-mail ont pu faire l'objet d'une fuite. Mais peut-être serait-il plus sage d'inclure un tel dispositif dans les CGU du service que de le faire effectivement sans "accord" du client.
Avatar de ilapasle25 ilapasle25 - Inactif https://www.developpez.com
le 28/11/2017 à 15:01
Je trouve honteux que les médias s'acharne sur 1 entrperise en particluier alors que les vraix coupable eux n'ont rien.
C'est pas uber qu'il faut blamer qui n'a fait que résister aux pressions de ces pirates, que dije ces chanteurs, escroc (les mots m'en tombent de colère)

Uber a bien agit dans l'ensemble, ce qu'il faut a présent c'est mener une enquete et trouver ces pirates et les sanctionner en conséquence.
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 28/11/2017 à 15:21
Citation Envoyé par ilapasle25 Voir le message
Je trouve honteux que les médias s'acharne sur 1 entrperise en particluier alors que les vraix coupable eux n'ont rien.
C'est pas uber qu'il faut blamer qui n'a fait que résister aux pressions de ces pirates, que dije ces chanteurs, escroc (les mots m'en tombent de colère)

Uber a bien agit dans l'ensemble, ce qu'il faut a présent c'est mener une enquete et trouver ces pirates et les sanctionner en conséquence.
Cacher l'information pendant un tel laps de temps ?
Moi, je n’appelle pas cela "bien agir dans l'ensemble".
Et puis si tu as bien lu la news, Uber connait l'identité des agresseurs et les a payés pour qu'ils se taisent !
Avatar de ilapasle25 ilapasle25 - Inactif https://www.developpez.com
le 28/11/2017 à 15:33
Citation Envoyé par Namica Voir le message
Cacher l'information pendant un tel laps de temps ?
Moi, je n’appelle pas cela "bien agir dans l'ensemble".
Et puis si tu as bien lu la news, Uber connait l'identité des agresseurs et les a payés pour qu'ils se taisent !
Cela ne change rien, les malfaiteurs sont toujours en liberté.

J'ai lu la news, mais vous victimiser clairement les malfaiteur et faite passer uber (un agent économique légal/rationnel/responsable...etc) pour le diable en personne.
Mais nous ne sommes pas dupe, j’espère que Uber se sortira de cette mauvaise passe et que la justice triomphera.

quand je lis votre profils :
Privacy, EBusiness, Bases de données, Sécurité, ...
laisser moi rire, si vous faite de la sécurité vous avez été forcémeent confronté a ces problemes, auquels cas il est parfaitement normal d'essayer de masquer cela. On parle de business et de protection de valeur métier, c'est du sérieux ! y'a des agents économiques de menacé (salarié, investisseur...) et meme l'entreprise toute entiere.
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 28/11/2017 à 15:44
Citation Envoyé par ilapasle25 Voir le message
... il est parfaitement normal d'essayer de masquer cela. ...
Non. Prévenir les clients d'un piratage est la moindre des choses et VA DEVENIR UNE OBLIGATION LÉGALE, sous peine de sanctions.
La transparence est toujours une meilleure stratégie que la dissimulation en cas de problèmes.
Avatar de ilapasle25 ilapasle25 - Inactif https://www.developpez.com
le 28/11/2017 à 15:50
Citation Envoyé par Namica Voir le message
Non. Prévenir les clients d'un piratage est la moindre des choses et VA DEVENIR UNE OBLIGATION LÉGALE, sous peine de sanctions.
La transparence est toujours une meilleure stratégie que la dissimulation en cas de problèmes.
Pas dans ce contexte, cacher cela à permis de mieux protéger les clients, on évite un phénomène de panique...etc.
Et faut rappeler le contexte, uber subit des campagnes de diffamation et n'avais pas besoins de sa en plus.
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 28/11/2017 à 16:05
Citation Envoyé par ilapasle25 Voir le message
... cacher cela à permis de mieux protéger les clients, ...
Ca c'est complètement idiot. Pendant tout ce temps là, les dits clients n'ont donc pas été avertis de changer leur mot de passe.
Comment ce silence a-t-il pu mieux les protéger ? J'attends une démonstration de cette soit-disant meilleure protection.
Avatar de ilapasle25 ilapasle25 - Inactif https://www.developpez.com
le 28/11/2017 à 16:14
Citation Envoyé par Namica Voir le message
Ca c'est complètement idiot. Pendant tout ce temps là, les dits clients n'ont donc pas été avertis de changer leur mot de passe.
Comment ce silence a-t-il pu mieux les protéger ? J'attends une démonstration de cette soit-disant meilleure protection.
effectivement tu as raison
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 01/12/2017 à 14:57
Uber : les autorités européennes de protection des données annoncent avoir formé un groupe de travail,
pour se pencher sur le cas de la société de VTC

Uber a déclaré que 57 millions de ses comptes ont été touchés par un piratage dont elle a été la victime en 2016. Cependant, après avoir caché cet épisode pendant un an, l’entreprise n’a toujours pas donné de détails en fonction des pays touchés. Une situation qui n’a pas été du goût de la France. Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage.

Mais, dans une plus grande mesure, le G29, qui rassemble les gendarmes européens de la vie privée et qui est actuellement présidé par la présidente de la CNIL française Isabelle Falque-Pierrotin, s’est réuni mercredi dernier à ce sujet, afin d’envisager une coordination des enquêtes. Manque de transparence, obligations d’information et de sécurité non respectées, etc. Les régulateurs ont de quoi sanctionner.

Ce jour-là, un groupe de travail a été créé pour se pencher sur le cas Uber : « Ce groupe de travail, dirigé par l'autorité néerlandaise de protection des données, sera composé à ce stade de représentants des autorités française, italienne, espagnole, belge et allemande et coordonnera les enquêtes nationales sur cette question importante », peut-on lire sur la page dédiée.

Bien entendu, le groupe de travail a reçu l’aval de la Commission. Lors d’une conférence de presse, la commissaire à la Justice Vera Jourova a fustigé l’irresponsabilité d’Uber. « Uber a attendu plus d'un an avant d'informer le public et ses consommateurs de cette faille » accuse-t-elle, avant de souligner que le RGPD permettra de mieux répondre à ce type de «comportement. »

Pour Giovanni Buttarelli, contrôleur européen de la protection des données, les législateurs de l'UE gagneraient à créer une nouvelle autorité centralisée pour la protection des données afin de superviser les enquêtes sur les atteintes à la vie privée qui affectent plus d'un État membre :

« Je pense qu'avec Uber, nous avons démontré immédiatement en tant qu'autorités de protection des données dans quelle mesure nous considérons qu'il est essentiel de coopérer. Nous avons établi un groupe de travail et nous synchronisons toutes nos actions. Donc, les enquêtes d'un point de vue formaliste vont être effectuées à l'échelle nationale, mais la substance de tout va maintenant être synchronisée. La même chose s'est produite avec la politique de confidentialité de Google et sur d'autres questions. Ici sur Uber, cela semble plus facile, car nous n'avons à ce stade que des questions de protection des données, de sécurité et de cybersécurité avec d'autres éléments – peut-être aussi du point de vue pénal, chantage et autre chose, qui devront être vérifiés. »

Source : Europa, entretien avec Giovanni Buttarelli
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 02/12/2017 à 7:00
Plus facile dans le cas Uber ?
Hummm...
L'europe impose des contraintes de protection de la vie privé au travers de directives : tout à fait d'accord.
Ensuite les différents pays de l'union doivent mettre cela en œuvre dans leur législations respectives avec la création des organes ad-hoc (CNIL, ...)
Ben oui, mais : les GAFAM (plus UBER) eux, sont internationaux.
  • Et chaque organe de contrôle d'un pays de l'union devrait à son niveau effectuer le contrôle et le cas échéant prononcer une sanction !!!
  • Et gérer dans chaque pays de l'union les recours et frais de justice ?
  • Avec les risques de jurisprudence différentes ?
  • Et le problème des lobbyistes GAFAM dans chaque membre de l'U.E. ?

NON
Au regard du pouvoir international des GAFAM, il ne sert à rien de disperser les efforts de protection de la vie privée dans diverses législations et organes nationaux devant de toute manière répondre à la même directive européenne. C'est une perte d'énergie et un coût.

Le groupe 29 l'a bien compris en se coordonnant pour ce problème.
Cependant, il est temps que cela soit centralisé au niveau de l'union. ce serait plus efficace.

Maintenant, faut-il laisser ce pouvoir dans le bras exécutif de l'union ?
J'en suis moins sur (et même pas du tout).
Dans le pouvoir judiciaire, oui, mais comment ?

Qu'en pensez-vous ?
Avatar de Olivier Famien Olivier Famien - Chroniqueur Actualités https://www.developpez.com
le 07/12/2017 à 10:32
Le piratage des données de 57 millions de clients d’Uber aurait été commis par un hacker de 20 ans
payé 100 000 $ sous forme de prime de bug bounty pour garder le silence

Les jours se suivent et se ressemblent chez Uber. L’entreprise de mise en relation de véhicules avec chauffeurs et de particuliers connaît mois après mois de nombreux problèmes. Engagée dans plusieurs procès à travers le monde et en proie à plusieurs crises internes, l’entreprise pourrait voir son image être encore écornée à la suite de cette affaire de piratage de données parvenue à la connaissance du public.

En effet, vers la fin du mois de novembre, le PDG de l’entreprise de VTC, Dara Khosrowshahi, a rapporté que deux pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs d’Uber Technologies Inc. Le fait le plus aggravant est que cette violation de données était connue de son chef de sécurité, Joe Sullivan, et de l’un de ses adjoints, Craig Clark, depuis 2016. Pour couvrir certaines actions, ces derniers ont passé sous silence ces faits et ont effectué un paiement de 100 000 dollars aux pirates informatiques en leur demandant de supprimer les données en leur possession.

Après avoir récemment appris l’accès non autorisé aux données de l’entreprise stockées sur la plateforme cloud d’Amazon ainsi que la dissimulation de cet incident par certains responsables de la sécurité informatique de l’entreprise, le PDG d’Uber a effectué un communiqué pour rassurer les chauffeurs et utilisateurs que des actions ont été prises depuis lors pour sécuriser les données et mettre fin à l’accès non autorisé. En outre, les deux responsables de sécurité qui se sont montrés fautifs en en étouffant l’affaire du piratage ont été limogés, car selon le directeur général d’Uber, l’incident aurait dû être révélé aux régulateurs au moment de sa découverte.

Mais loin d’être satisfaits par les actions correctives de l’entreprise, de nombreux médias y compris Reuters ont mené leurs enquêtes afin de faire la lumière sur cet incident. Après avoir creusé sur cette affaire, Reuters rapporte qu’un des deux pirates informatiques impliqués dans le vol des données serait un homme âgé de 20 ans qui a reçu le montant indiqué (100 000 dollars) sous forme de récompense donnée à travers le programme de bug bounty organisé par l’entreprise. Une source de Reuters décrit le hacker comme « vivant avec sa mère dans une petite maison en essayant d’aider à payer les factures ». Reuters ajoute que les membres de l’équipe de sécurité d’Uber ne voulaient pas poursuivre une personne qui semblait ne pas constituer une menace véritable.

En s’appuyant sur deux de ses sources, Reuters rapporte qu’Uber a fait le paiement pour confirmer l’identité du hacker et lui faire signer un accord de non-divulgation pour dissuader d’autres actes répréhensibles. Uber a également effectué une analyse de la machine du pirate informatique pour s’assurer que les données avaient été purgées, selon les sources.

En principe, les programmes de bug bounty sont organisés pour motiver les experts en sécurité et autres chercheurs à dénicher de nouvelles failles qui pourraient être exploitées par des acteurs malveillants afin de mettre à mal les affaires d’une entreprise. Selon un ancien dirigeant de HackerOne, qui héberge le service de bug bounty d’Uber, les primes de récompense pour la découverte de failles se situent en général entre 5000 et 10 000 dollars. Un paiement de 100 000 dollars par un programme de primes de bogue serait extrêmement inhabituel et représenterait un « record absolu » dans le domaine des découvertes de failles. Cet avis est également partagé par Katie Moussouris, ancien cadre de HackerOne, qui estime que le versement de 100 000 $ d’Uber et le silence à ce moment-là étaient extraordinaires dans le cadre d’un tel programme. « Si cela avait été un bogue légitime, il aurait été idéal pour tous les participants de le crier sur les toits », a déclaré Moussouris. Le fait qu’Uber n’ait pas signalé la violation aux régulateurs, même si elle avait peut-être l’impression d’avoir réglé le problème, était une erreur, selon des personnes à l’intérieur et à l’extérieur de l’entreprise qui ont échangé avec Reuters.

Le hacker qui vivrait en Floride aurait payé une deuxième personne pour les services qui impliquaient l’accès à la plateforme d’hébergement de code GitHub afin d’obtenir des informations d’accès aux données Uber stockées ailleurs, a indiqué l’une des sources de Reuters. Mais du côté de GitHub, les responsables de la plateforme ont indiqué que l’attaque n’impliquait pas une défaillance de ses systèmes de sécurité.

Une dernière chose à noter dans cet incident, c’est qu’en général le décaissement de 100 000 dollars dans une entreprise sérieuse ne peut se faire sans l’accord préalable d’un certain nombre de hauts dirigeants. Reuters rapporte que selon certaines sources non divulguées, le PDG d’alors, Travis Kalanick, aurait été informé de la violation et du paiement effectué aux pirates. Kalanick, qui a démissionné en tant que PDG d’Uber en juin, a refusé de commenter l’affaire, rapporte Reuters.

Source : Reuters

Et vous ?

Comment jugez-vous le règlement de cet incident par Uber ?

Quelle est votre perception d’Uber après ce énième incident rapporté ?

Voir aussi

Uber licencie plus de vingt employés à la suite d'une enquête de harcèlement sexuel et envisage une refonte de son image et de son organisation
Waymo vs Uber : le juge choqué aurait accusé Uber de dissimuler des preuves après avoir appris que l'entreprise aurait acheté le silence d'un employé
Contacter le responsable de la rubrique Accueil