Une année entière s'est écoulée avant qu'Uber reconnaisse auprès des autorités et du public le vol massif de données de ses clients. En payant le silence des criminels, l'entreprise a instauré un précédent dangereux pour de nombreux acteurs de la cybersécurité.

Ce mercredi matin, Uber France — comme bon nombre des filiales régionales de la startup américaine qui ont appris la nouvelle dans la nuit — est embarrassé par les révélations faites par Bloomberg. En octobre 2016, l’entreprise leader du taxi de nouvelle génération était attaquée, avec succès, par des hackeurs qui lui spoliaient les données personnelles de 57 millions de clients. Une fuite colossale qui tutoie par son ampleur la récente affaire d’Equifax.

Une année dans le secret

Uber confirme que la fuite sera découverte plus d’un mois après : « à la mi-novembre », nous explique-t-on. Depuis, il s’est écoulé une année entière durant laquelle la startup a délibérément masqué cette attaque à ses clients et aux autorités compétentes.

En effet, c’est seulement aujourd’hui qu’Uber informe les différents régulateurs comme nous le confirme la filiale française : « Nous sommes en train de notifier les différents régulateurs et autorités gouvernementales. Nous sommes dans le cadre de discussions avec ces derniers. » Une parade utile pour éviter de répondre à toutes questions avant la fin des enquêtes légales : « Jusqu’à la fin de ce processus, nous ne sommes pas en position de donner davantage de détails. »

Il a fallu donc une année et un article dans la presse, pour que la firme prenne ses responsabilités. Alors même que délivrer cette information critique apparaît comme un devoir légal dans de nombreux marchés de l’entreprise comme le rappelle Jérôme Segura, analyste chez Malwarebytes : « Ce qui est troublant est que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données. »

En effet, la fuite concernant des données personnelles des clients, l’entreprise est soumise aux régulateurs de ces dernières comme la CNIL en France, ou la justice américaine qui a annoncé se saisir du dossier.

Pour Numerama, David Emm, chercheur en cybersécurité chez Kaspersky rappelle : « Les clients qui confient des informations privées aux soins d’une entreprise doivent être sûrs que les informations qu’ils contiennent sont sécurisées. Lorsqu’une violation de données de ce type se produit, une divulgation complète et en temps opportun permet de s’assurer que le client reconstruit sa confiance. »

Plus que la confiance des clients, Uber pourrait risquer gros auprès des régulateurs.

« La réponse d’Uber a été irresponsable »

De plus, les experts en cybersécurité sont unanimes quant à la gestion de la crise par l’entreprise : Uber a établi un précédent en masquant la réalité et en payant la rançon. Chez Kasperky, les mots sont graves : « La réponse d’Uber a été irresponsable. En donnant de l’argent aux criminels, l’entreprise les encourage et établit un dangereux précédent. »

Une telle attitude de la part d’un acteur majeur comme Uber pourrait conduire les pirates à identifier des cibles similaires comme étant rentables. Alors que les nouvelles régulations comme le règlement général sur la protection des données (RGPD) s’attachent à augmenter les amendes contre les mauvais acteurs de l’ePrivacy, d’autres entreprises pourraient être tentées de « payer le silence des criminels ».

La perspective d’une sanction lors d’une brèche comme celle vécue par Uber — atteignant jusqu’à 4 % du chiffre d’affaires mondial — pourrait alors encourager certains à préférer payer les hackeurs que les autorités.

« Il faut s’attendre à voir les cas de chantage se multiplier »

C’est une hypothèse pour expliquer le comportement de la société même si le prix de la rançon exigée pourrait atteindre des sommets selon M. Segura de Malwarebytes qui estime : « La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir. » Notons que ce type de dérives sont également prévues par des règlements comme le RGPD qui instaurent l’obligation pour une entreprise de prévenir la CNIL, pour la France, d’un vol de données personnelles. Un manquement à cette obligation expose la firme à une amende à hauteur de 2 % de son chiffre d’affaires mondial.

Pour M. Emm de Kaspersky, le précédent effectué par Uber pourrait inviter les hackeurs à changer de stratégie en matière de paiement à court terme, il estime : « Il faut s’attendre à voir les cas de chantage se multiplier. Les cybercriminels pourraient alors faire pression sur les entreprises attaquées en demandant une somme inférieure aux amendes prévues, en échange de leur silence. » Un scénario qui pourrait expliquer l’année silencieuse d’Uber mais également mettre en avant un nouveau modèle de rançon pour les pirates.