Piratage : « la réponse d’Uber a été irresponsable »

Faire une erreur, c’est mal, tenter de la dissimuler est bien pire. L’adage est pourtant connu mais chez Uber on a pris le risque de la dissimulation. Un risque bien mal calculé puisque tout fini un jour par ressortir, Yahoo en sait quelque chose. Le géant du VTC  a du se résoudre à officialiser un piratage massif qu’il a tenté de dissimuler.

 

En 2016, des cybercriminels ont piraté un serveur GitHub et accédé aux données personnelles de 57 millions d’utilisateurs. Ils ont pu télécharger certains éléments comme les noms, adresses email et numéros de téléphone. Environ 7 millions de chauffeurs Uber font partie des victimes et 600 000 d’entre eux basés aux Etats-Unis ont vu leur numéro de permis de conduire téléchargé. Uber assure qu’aucunes autres données sensibles (carte de crédit, date de naissance, numéro de sécurité sociale…) n’ont été compromises et que des mesures ont été immédiatement prises pour sécuriser cette brèche.

Uber a donc choisi d’étouffer l’affaire en payant une rançon de 100.000 dollars pour obtenir le silence des auteurs. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs.

Dara Khosrowshahi, nouveau p-dg, qui dit avoir appris le piratage il y a peu, a immédiatement pris des mesures. Joe Sullivan, le directeur de la sécurité et l’un de ses adjoints Craig Clark ont été congédiés. Les victimes ont été prévenues et les chauffeurs concernés bénéficient d’un programme de protection contre le vol d’identité. 

Mais le mal est fait et les commentateurs se déchaînent. Payer la rançon ? L’erreur à ne pas faire pour toute entreprise, surtout pour celles de la taille d’Uber. « La réponse d’Uber a été irresponsable. En donnant de l’argent aux criminels, l’entreprise les encourage et établit un dangereux précédent. Avec les amendes imposées par le GDPR, qui augmentent pour atteindre 4% du chiffre d’affaires, il faut s’attendre à voir les cas de chantage se multiplier ; les cybers criminels pourraient alors faire pression sur les entreprises attaquées en demandant une somme inférieure aux amendes prévues, en échange de leur silence. », commente David Emm, chercheur en cybersécurité chez Kaspersky Lab.

Uber n’aurait certainement pas fait la même chose si le RGPD était aujourd’hui opérationnel. « Il faut espérer que le GDPR (Règlement Général sur la Protection des données – RGPD), qui entrera en vigueur en mai 2018, incitera à d’abord prendre des mesures pour sécuriser les données des clients qu’elles détiennent et, deuxièmement, à informer l’OIC des violations dans un délai raisonnable », poursuit-il.

Selon Christophe Badot, Directeur France de Varonis : « On constate une fois encore que les pénalités dérisoires n’incitent pas suffisamment les entreprises à protéger leurs données. Lorsque le RGPD entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l’UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction (4 % de son chiffre d’affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamnée à une amende de 20 000 $ seulement par l’État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »

ZDNet