09 73 64 49 32 contact@cybervigilance.fr

La CNIL condamne Uber à versé une amende de 400 000€ pour ne pas avoir sécurisé correctement les données de ses utilisateurs.

La faille de Sécurité

En novembre 2017 Uber annonce que les données de 57 millions d’utilisateurs (chauffeurs et clients) ont été piratées.

Toutefois Uber a tenté de camoufler ce piratage qui date en réalité de novembre 2016.
La société a été averti directement par les hackers. Et a décidé de leur verser 100 000 dollars pour garder le secret et effacer les données dérobées.
Les informations dérobées concernaient les noms, adresses mails et numéros de téléphone des utilisateurs.

L’enquête

1,4 millions des utilisateurs visés par se piratage étaient situés sur le territoire français.
De ce fait le G29 à lancer groupe de travail dans le but de coordonner les procédures d’investigation.

La CNIL estime que « cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place »

Voici les points soulignés :

  • Uber “aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement « Github » grâce à une mesure d’authentification forte.”
  • “N’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur.”
  • “Pour l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.”

Cette condamnation ne prend pas en compte les violations du RGPD car le piratage date d’avant l’application de celui-ci.

Uber a déjà été condamné par la CNIL Néerlandaise à une amende de 600 000€ pour ne pas avoir annoncé cette violation de donnée plutôt.

La réponse d’Uber face à cette condamnation.

Face à la sanction de la CNIL, Uber donne une réponse majoritairement positive:

« Nous sommes heureux de clore ce chapitre sur l’incident de données de 2016 »« [Nous avons] apporté plusieurs améliorations techniques à la sécurité de [ses] systèmes » et « d’importants changements dans [son] management afin d’assurer la transparence aux autorités régulatrices et aux clients. Nous tirons les leçons de nos erreurs et poursuivons notre engagement à gagner chaque jour la confiance de nos utilisateurs »