Uber vient de révéler avoir fait l'objet d'un grave piratage ayant exposé les données personnelles de 57 millions de clients et 7 millions de chauffeurs. L'incident a été caché pendant un an. Uber aurait même tenté de payer les hackeurs pour étouffer l'affaire.

Vous pensiez qu’Uber était au fond du trou avec toutes les affaires qui sont apparues au cours des derniers mois ? Détrompez-vous : l’entreprise américaine spécialiste de la mise en contact de voyageurs avec des conducteurs proposant des solutions de transport poursuit sa descente aux enfers.

Car l’affaire dont il est question est très grave : la plateforme de VTC a été la cible d’un piratage qui a débouché sur un vol massif de données personnelles. Un accès frauduleux qu’Uber a confirmé mardi 21 novembre par un communiqué de son PDG, Dara Khosrowshahi, au moment où Bloomberg a sorti son scoop.

dara-khosrowshahi
Le PDG d’Uber.
CC Phocuswright

Plus grave encore, l’existence de l’incident a été dissimulée pendant de longs mois. Le nouveau patron de la société — il a été nommé fin août à la tête d’Uber — explique en effet avoir appris « récemment » ce qu’il s’est passé à la fin de l’an passé. Or, selon l’agence de presse, le cofondateur et ancien PDG du groupe, Travis Kalanick, aurait été au courant dès novembre 2016.

Pour ne pas ébruiter l’affaire, forcément désastreuse pour une image de marque déjà bien écornée par de multiples scandales, la société de transport aurait payé pas moins de 100 000 dollars aux pirates responsables de l’accès frauduleux pour qu’ils gardent le silence et effacent les données dérobées. Sur ce point précis, Uber s’est abstenu de commenter le récit de Bloomberg.

Selon les explications de Dara Khosrowshahi, les assaillants ne sont pas liés à Uber. Ils ont exploité une brèche leur permettant de récupérer le contenu de certaines bases de données depuis des serveurs tiers utilisés par Uber. Le PDG assure que les systèmes ou l’infrastructure de l’entreprise n’ont pas été touchés. Mais peut-être que les attaquants ne les visaient tout simplement pas.

57 millions de clients touchés

Au final, même si le cœur informatique d’Uber n’a pas été atteint, le coup porté est sévère : on parle en effet du vol d’informations de données personnelles concernant 57 millions de clients et de 7 millions de chauffeurs, mais aussi 600 000 noms et numéros de permis de conduire.

Dans le détail, concernant les clients, le piratage a touché les noms, adresses e-mail et numéros de téléphone portable indiqués sur leur compte. En revanche, les historiques des lieux des courses, les numéros de carte de crédit et de compte bancaire, les numéros de sécurité sociale et les dates de naissance n’auraient pas été récupérés, d’après Uber, qui dit se fonder sur des expertises externes.

Pour les chauffeurs, la situation est exactement la même que les utilisateurs, hormis les 600 000 noms et numéros de permis de conduire mentionnés plus haut. À noter que, selon Uber, ces 600 000 données ne concernent que les chauffeurs conduisant aux États-Unis (contrairement au reste, qui concerne les clients et les conducteurs dans le monde entier).

Dara Khosrowshahi affirme avoir immédiatement diligenté une enquête approfondie sur cette affaire afin de savoir comment Uber l’a gérée et dit avoir découvert que la société n’a pas notifié les personnes concernées ni les organismes de réglementation. Depuis, le PDG assure que plusieurs décisions, détaillées dans le communiqué, ont été prises pour que le groupe adopte de meilleures pratiques dans ce domaine.

Nous ne pensons pas qu’il soit nécessaire pour les passagers de prendre des mesures

Et du côté utilisateur, faut-il prendre des mesures particulières ? Uber estime que non : « lorsque l’incident s’est produit, nous avons pris des mesures immédiates pour sécuriser les données, empêcher d’autres accès non autorisés et renforcer la sécurité de nos données », écrit notamment la société, ajoutant n’avoir « constaté aucune fraude ni aucun abus lié à cet incident ».

Par ailleurs, la société déclare surveiller «  de près les comptes concernés, qui bénéficient d’une protection renforcée contre la fraude ». Ce qui, au regard de la portée de l’incident, avec 57 millions de comptes clients et 7 millions de comptes professionnels, n’est sans doute pas une mince affaire.

Partager sur les réseaux sociaux