Le secrétaire d’État au numérique a adressé un courrier à Uber pour lui demander des explications au sujet du piratage qu’il a subi il y a un an. En particulier, il veut savoir combien de clients français sont touchés et quelles sont les mesures mises en œuvre pour circonscrire le problème.

Après la surprise, les demandes d’explication. Cette semaine, Uber révélait avoir subi il y a un an un grave piratage informatique ayant affecté pas moins de 57 millions de clients. Ce  casse numérique de grande ampleur a permis aux assaillants de mettre la main sur de nombreuses données personnelles. Bien entendu, la question qui se pose est de savoir s’il y a des victimes françaises.

Ou plutôt, combien sont-elles.

Il serait en effet miraculeux de découvrir que le piratage n’a affecté aucun Français, étant donné d’une part la portée de l’incident et d’autre part le poids que pèse Uber dans le secteur des VTC, notamment en France. D’ailleurs, le gouvernement ne croit pas à ce genre de miracle puisqu’il a justement adressé une missive officielle à Uber pour qu’il lui apporte les clarifications nécessaires.

mounir-mahjoubi-en-marche

Mounir Mahjoubi.

« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quel type sont les données qui ont été dérobées », écrit Mounir Mahjoubi, le secrétaire d’État responsable du numérique. Par ailleurs, il interroge Uber sur les « mesures techniques et organisationnelles [qui] sont mises en place pour informer et accompagner les utilisateurs ».

À l’heure actuelle, Uber a déclaré que le piratage a atteint les noms, adresses e-mail et numéros de téléphone portable des clients. Par contre, les historiques des lieux des courses, les numéros de carte de crédit et de compte bancaire, les numéros de sécurité sociale et les dates de naissance n’auraient pas été dérobés par les pirates, selon des expertises externes.

Le gouvernement exprime son inquiétude

Ce courrier est aussi l’occasion d’adresser quelques remontrances à Uber, puisqu’il est rappelé que le spécialiste du VTC n’a « pas signalé cet incident » ni à la Commission nationale de l’informatique et des libertés (Cnil) ni à l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui, au regard de la nature du casse, sont légitimes à être informées prestement.

Et ce défaut de communication est justement exploité.

CC FreeStocks

CC freestocks.org

« Au regard du danger existant, nous aimerions que vous informiez volontairement les utilisateurs concernés ainsi que les autorités », poursuit le secrétaire d’État, en notant qu’Uber a « une importance qui vous donne des responsabilités ». Et quand un incident de ce type et de cette envergure survient, alerter sa clientèle en fait partie. Or, cela n’a pas été fait, alors qu’il y a un risque évident d’exploitation des données.

Pour Mounir Mahjoubi, il est dans l’intérêt d’Uber de faire preuve plus de transparence et d’agir plus promptement dans ces circonstances. C’est d’autant plus vrai avec l’adoption prochaine du règlement général sur la protection des données, prévue en mai 2018, qui prévoit justement d’imposer des obligations de notification en cas de problème de ce type. Avec d’importantes sanctions si cela n’est pas fait.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.