Comment Uber a payé pour dissimuler un piratage massif de ses données

, par  DMigneau , popularité : 0%

Comment Uber a payé pour dissimuler un piratage massif de ses données

Uber est poursuivi pour négligence. - Da qing / Imaginechina

Face au piratage des données de 57 millions de ses utilisateurs l’an dernier, Uber aurait acheté le silence des " hackers " pour la modique somme de 100 000 dollars. Un nouveau scandale qui intervient peu après la nomination de Dara Khosrowshahi, chargé de redorer le blason de l’entreprise.

Comme quoi, le chantage, c’est efficace. L’année dernière, Uber aurait ainsi versé une rançon de 100 000 dollars à deux hackers pour dissimuler le piratage massif qu’ils avaient commis en octobre 2016, d’après une enquête de Bloomberg.

En cause : le détournement des données de 57 millions d’utilisateurs, dont celles de 60 000 chauffeurs, comme l’annonce Dara Khosrowshahi, le patron de l’entreprise, dans un communiqué de presse publié ce mardi 21 novembre.

Seuls le numéro de permis de conduire et le nom des chauffeurs seraient concernés, assure la firme – ce qui est tout de même suffisant pour réaliser des faux permis. Les clients, eux, se sont vus dérober leur numéro de téléphone, leur adresse email et leur nom.

D’après Dara Khosrowshahi, ni les historiques de trajet, numéros de carte de crédit, comptes en banque, dates de naissance, ou numéros de Sécurité sociale n’auraient été piratés.

Le co-fondateur d’Uber prévenu un mois après le piratage

Comment est-il possible qu’Uber ait mis un an à rendre public ce piratage, enfreignant ainsi bon nombre de lois fédérales et étatiques ?

Le PDG – en poste depuis moins de trois mois – assure avoir " récemment appris " que les données avaient été détournées. En revanche, son prédécesseur, le co-fondateur controversé d’Uber, Travis Kalanick, aurait été mis au courant du piratage en novembre 2016.

A l’époque, en plus d’avoir payé les hackers, l’entreprise se serait alors contentée de conclure un arrangement avec le procureur général de New York au sujet des informations liées à la sécurité des données, d’après Bloomberg. Uber était également en négociation avec la Commission fédérale du commerce concernant la gestion des données des clients.

Les deux hackers, extérieurs à l’entreprise, se sont servis du " Cloud " utilisé par Uber pour récupérer les données. " L’incident n’a pas atteint nos systèmes d’entreprise, ou notre infrastructure. […] Quand il s’est produit, nous avons pris des mesures immédiates pour sécuriser les données et couper les autres accès non autorisés aux individus – les hackers, ndlr. Nous les avons identifiés ultérieurement et obtenu l’assurance que les donnés téléchargées avaient été détruites. Nous avons également mis en place des mesures de sécurité pour restreindre l’accès et renforcer les contrôles de notre Cloud ", explique Dara Khosrowshahi.

L’entreprise est poursuivie pour négligence

Pour ne pas avoir informé les clients concernés par le piratage, Dara Khosrowshahi annonce que les personnes qui ont géré l’incident – le directeur de la sécurité informatique, Joe Sullivan, et un juriste – étaient renvoyées " dès aujourd’hui ". Il s’engage également à informer les chauffeurs concernés par le piratage, en plus de leur fournir une surveillance de crédit gratuite et une protection contre l’usurpation d’identité.

Des mesures insuffisantes pour faire oublier le manque de communication, puisque quelques heures après ces révélations, l’entreprise a été poursuivie pour "
négligence ".

" Uber a échoué à développer et maintenir des procédures de sécurité raisonnables et des pratiques appropriées quant à la nature et la portée des informations compromises dans le piratage ", indique la plainte, remplie ce mardi à la Cour fédérale de Los Angeles, d’après Bloomberg.

L’action en justice viserait à représenter tous les utilisateurs américains victimes du " hackage ".

Redorer le blason de l’entreprise : un véritable défi

Uber n’en est pas à son premier scandale. Depuis sa création en 2009, l’entreprise compte déjà plusieurs démêlés avec la justice : au moins cinq enquêtes criminelles ont été ouvertes aux États-Unis, concernant de possibles pots-de-vin, des logiciels illégaux, des systèmes de tarification des prix douteux

Sans compter les témoignages sur le comportement agressif de Travis Kalanick et les accusations de harcèlement sexuel qui a cours dans l’entreprise.

Obligé de démissionner en juin dernier sous la pression des investisseurs, le co-fondateur d’Uber avait ainsi donné " une chance à l’entreprise de s’engager entièrement dans un nouveau chapitre de son histoire ", comme l’avait poliment écrit les investisseurs en question. L’embauche de Dara Khosrowshahi visait clairement à redresser l’image de l’entreprise.

" Rien de tout cela n’aurait dû se passer et je ne vais pas trouver des excuses, écrit-il au sujet de la dissimulation du piratage. Bien que je ne puisse effacer le passé, je m’engage au nom de tous les employés d’Uber en disant que nous apprendrons de nos erreurs. Nous sommes en train de changer notre manière de faire, en plaçant l’intégrité au cœur de chaque décision que nous prenons et en travaillant dur pour gagner la confiance de nos clients ".

Quelles promesses...

Floriane Valdayron

Marianne