Le nouveau PDG de Uber vient d’admettre que son entreprise a été victime, fin 2016, d’une cyberattaque ayant conduit au vol d’informations personnelles de 57 millions de clients. Uber a également avoué avoir versé 100 000 dollars aux pirates contre leur silence. Un nouveau scandale, à quelques mois de la mise en place du Règlement Général sur la Protection des données (RGPD).
Dara Khosrowshahi, nouveau PDG d’Uber, en poste depuis une dizaine de jours, prétend n’avoir appris l’attaque que récemment. Il vient en tout cas de la révéler : fin 2016, un serveur GitHub de Uber a été piraté par des hackers, qui ont ainsi récupéré les données personnelles de plus de 57 millions de clients (noms, adresse mail et numéro de téléphone). Les numéros de permis de conduire de 600 000 chauffeurs américains ont également été dérobés.
« La réponse d’Uber a été irresponsable. »
Uber affirme qu’aucune donnée sensible n’a été dérobée (numéro de carte de crédit, numéro de sécurité sociale…), et que les deux employés fautifs ont été immédiatement licenciés. Plus gênant encore, la société avoue avoir acheté le silence des deux pirates 100 000 dollars, pour ne pas voir son image écornée alors qu’elle négociait sur son utilisation des données personnelles.
« La réponse d’Uber a été irresponsable. En donnant de l’argent aux criminels, l’entreprise les encourage et établit un dangereux précédent. » a clairement indiqué David Emm, chercheur en cybersécurité chez Kaspersky Lab.
Avec le RGPD, Uber aurait risqué 260 millions de dollars d’amende…
Cette affaire prend place à quelques mois de la mise en vigueur, en mai 2018, du Règlement Général sur la Protection des données (RGPD), qui va considérablement durcir les sanctions européennes en cas de fautes des entreprises dans la gestion et protection des données personnelles.
« On constate une fois encore que les pénalités dérisoires n’incitent pas suffisamment les entreprises à protéger leurs données. Lorsque le RGPD entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l’UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. Pour mettre les choses en perspective : dans le cadre RGPD, Uber pourrait être condamné à une amende pouvant atteindre 260 millions de dollars pour cette infraction (4 % de son chiffre d’affaires de 6,5 milliards de dollars en 2016). » explique ainsi Christophe Badot, Directeur France de Varonis.