Vendredi dernier, par l’entremise de Khaterine Tassi, sa responsable des questions liées aux données privées, le service américain de voiture avec chauffeurs Uber a déclaré dans un billet blog avoir été victime d’une intrusion informatique ayant compris les données relatives à près de 50 000 conducteurs parmi lesquelles des numéros de permis de conduire et noms des conducteurs. L’accès non autorisé aurait eu lieu le 13 mai 2014 mais n’a été découverte qu’un peu plus tard le 17 septembre 2014. Uber tient à atténuer la portée de cette violation en expliquant que les 50 000 conducteurs de plusieurs Etats (américains) qui ont vu un accès non autorisé à leurs données représentent « un petit pourcentage des actuels et anciens partenaires conducteurs Uber ». L’entreprise assure avoir changé les protocoles d’accès à sa base de données et prévenus les chauffeurs concernés. Les victimes de ce piratage se verront offrir une année de protection contre les vols d’identité. Mais Uber ne compte pas en rester là. Dans son billet, le service avançait avoir déposé une plainte contre X « afin que nous soyons en mesure de collecter des informations qui pourraient conduire à la confirmation de l’identité de la partie tierce ».
Uber a cité à comparaître pour l’aider à démasquer les internautes susceptibles d’être derrière le piratage des données des chauffeurs de taxi. Notamment en lui remettant les adresses IP de tous ceux qui ont eu à visiter un post spécifique – il est possible qu’il ait pu contenir des informations qui ont permis de s’emparer de la clé qui a été utilisée pour accéder aux données – entre mars et septembre 2014.
Uber a également lancé une plainte contre X dans la cour de Californie du Nord contre le mystérieux hacker. « Le ou vers le 12 mai 2014, à partir d’une adresse IP qui n’est pas associée à un employé Uber et donc inconnue d’Uber, X a utilisé une clé de sécurité unique pour télécharger des fichiers de base de données Uber contenant des informations confidentielles et exclusives depuis des ordinateurs protégés d’Uber », est-il écrit dans la plainte.
L’équipe de sécurité d’Uber connaît l’adresse IP utilisée par l’intrus et veut pouvoir la relier à toutes les adresses IP et noms d’utilisateurs qui ont parcouru un post spécifique hébergé par GitHub (et qui a d’ailleurs déjà été retiré).
Concrètement, Uber voudrait que GitHub lui fournisse « toutes les archives, y compris mais non limitées aux à journaux de transactions ou d'autres, à partir du 14 Mars 2014 jusqu’au 17 Septembre 2014, l'identification des adresses IP ou des abonnés qui ont consulté, ont eu accès ou ont modifié ces publications ainsi que la date / heure de l'accès, de la visualisation, ou de la modification, ainsi que des dossiers ou des métadonnées relatives au navigateur (c’est-à-dire les en-têtes http et même les cookies) ou les dispositifs qui ont consulté, eu accès, ou modifié ces publications ».
Notons quand même que dans son billet l’entreprise a expliqué que « nous n’avons pas reçu de rapports indiquant une usurpation de ces informations suite à cet incident ».
Source : Uber
