Piratage d'Uber : le gouvernement veut savoir si des Français sont affectés
Après la surprise, les demandes d'explication.
Ou plutôt, combien sont-elles.
Il serait en effet miraculeux de découvrir que le piratage n'a affecté aucun Français, étant donné d'une part la portée de l'incident et d'autre part le poids que pèse Uber dans le secteur des VTC, notamment en France. D'ailleurs, le gouvernement ne croit pas à ce genre de miracle puisqu'il a justement adressé une missive officielle à Uber pour qu'il lui apporte les clarifications nécessaires.
« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quel type sont les données qui ont été dérobées », écrit Mounir Mahjoubi, le secrétaire d’État responsable du numérique. Par ailleurs, il interroge Uber sur les « mesures techniques et organisationnelles [qui] sont mises en place pour informer et accompagner les utilisateurs ».
À l'heure actuelle, Uber a déclaré que le piratage a atteint les noms, adresses e-mail et numéros de téléphone portable des clients. Par contre, les historiques des lieux des courses, les numéros de carte de crédit et de compte bancaire, les numéros de sécurité sociale et les dates de naissance n’auraient pas été dérobés par les pirates, selon des expertises externes.
Ce courrier est aussi l'occasion d'adresser quelques remontrances à Uber, puisqu'il est rappelé que le spécialiste du VTC n'a « pas signalé cet incident » ni à la Commission nationale de l'informatique et des libertés (Cnil) ni à l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui, au regard de la nature du casse, sont légitimes à être informées prestement.
Et ce défaut de communication est justement exploité.
« Au regard du danger existant, nous aimerions que vous informiez volontairement les utilisateurs concernés ainsi que les autorités », poursuit le secrétaire d’État, en notant qu'Uber a « une importance qui vous donne des responsabilités ». Et quand un incident de ce type et de cette envergure survient, alerter sa clientèle en fait partie. Or, cela n'a pas été fait, alors qu'il y a un risque évident d'exploitation des données.
Pour Mounir Mahjoubi, il est dans l'intérêt d'Uber de faire preuve plus de transparence et d'agir plus promptement dans ces circonstances. C'est d'autant plus vrai avec l'adoption prochaine du règlement général sur la protection des données, prévue en mai 2018, qui prévoit justement d'imposer des obligations de notification en cas de problème de ce type. Avec d'importantes sanctions si cela n'est pas fait.