La Cnil met à l'amende Uber pour vol de données

23 Décembre, 2018, 14:40 | Auteur: Aubrey Nash
  • Données personnelles: Uber frappé d'amendes pour plus de 1,5 million d'euros

"Les attaquants ont tout d'abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement "Github". Pour l'heure, trois autorités de protection des données personnelles ont sanctionné le service pour cette faille, chacune avec une amende conséquente: celle des Pays-Bas (600 000 euros, le 6 Novembre 2018), de la Grande-Bretagne (385 000 livres, soit environ 425 000 euros, le 26 Novembre) et la CNIL en France (400 000 euros).

Uber avait en réalité été informé de ce piratage dès novembre 2016, par les pirates eux-mêmes.

Saisie de l'affaire et après une enquête coordonnée au niveau européen, la Cnil vient de condamner le groupe Uber France SAS à 400.000 euros d'amendes, pour ne pas avoir suffisamment sécurisé les données. Les faits ayant eu lieu avant l'entrée en vigueur du règlement général de protection des données, les sanctions plus lourdes prévues n'étaient pas applicables. "Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données" et y télécharger des informations sur les utilisateurs explique la Cnil dans un communiqué. Au vu du nombre de personnes touchées, la Cnil décidé de rendre la sanction publique.

Indubitablement, un tel incident aurait pu être évité, et ce "si certaines mesures élémentaires en matière de sécurité avaient été mises en place". Bien entendu, le motif de la sanction est le manquement à l'obligation de sécuriser les données. La Cnil a jugé qu'Uber aurait dû prévoir "une mesure d'authentification forte" pour ses ingénieurs qui se connectent à cette plateforme, comme "un identifiant et un mot de passe puis un code secret envoyé sur un téléphone". Elle considère également qu'Uber "n'aurait pas dû stocker en clair au sein du code source" de cette plateforme "des identifiants permettant d'accéder au serveur", ou encore qu'elle aurait dû "mettre en place un système de filtrage des adresses IP" pour l'accès aux serveurs "contenant les données des utilisateurs".

D'autres autorités européennes ont pris des sanctions.

L'entreprise s'est dit " heureuse de clore ce chapitre " et a déclaré avoir renforcé la sécurité de ses systèmes depuis 2016.

Cible de diverses procédures après ce piratage, Uber avait conclu en septembre un accord à l'amiable de 148 millions de dollars avec les autorités américaines.

Recommande: