Nous suivre Industrie Techno

Uber Leak : quelles seraient les conséquences avec la future loi européenne ?

Séverine Fontaine
Uber Leak : quelles seraient les conséquences avec la future loi européenne ?

© © Uber Brand Photography

Uber a dévoilé avoir subi un vol massif de données : 50 millions du côté de ses clients et 7 millions pour ses chauffeurs. La société a payé 100 000 dollars à ses hackers pour récupérer ses données et a également gardé secret l’information. Cette fuite aurait pu coûter très cher si le règlement général sur la protection des données (RGPD), prévu pour mai 2018, était en vigueur… 

50 millions de données clients et 7 millions de données chauffeur parties dans la nature. L'ampleur de la fuite dévoilée le 22 novembre par Uber amène un constat effarant : à quelques mois de l'entrée en vigueur du réglement général sur la protection des données (RGPD), prévue pour mai 2018, certaines grosses sociétés n'ont toujours pas protégées leurs données. « Cette révélation à propos d’Uber soulève la question suivante : combien d’autres entreprises ont payé une rançon pour couvrir une cyberattaque sans que nous le sachions ? » s’interroge Emily Orton, directrice et cofondatrice de la société spécialisée dans la cybersécurité Darktrace. « Uber fait partie d’une longue lignée de grandes sociétés avec d’importantes équipes de sécurité et de vastes ressources, aujourd’hui touchée par une violation de données à grande échelle. »

La société a payé 100 000 euros aux hackers pour la récupération des données. Une somme considérée comme « dérisoire » par Christophe Badot, Directeur France de Varonis, entreprise également dédiée à la cybersécurité, et qui n’incite pas les entreprises à protéger les données personnelles. Qu’en sera-t-il lorsque le règlement sera appliqué ? « Les entreprises qui manipuleront les données des citoyens de l’Union européenne seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72h après la découverte d’une violation de données. »

Une amende de 260 millions de dollars

« Pour mettre les choses en perspective : dans le cadre RGPD, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 de dollars pour cette infraction (4 % de son chiffre d’affaires de 6,5 milliards de dollars en 2016), ajoute Christophe Badot. Lors du précédent piratage survenu en 2014, Uber avait été condamnée à une amende de 20 000 dollars seulement par l’Etat de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »

Cette entreprise américaine peut-elle être concernée par une sanction européenne ? « A partir du moment où la fuite de données concerne des clients européens, nous précise Luis Delabarre, expert en cybersécurité chez Malwarebytes France, l’entreprise est passible des mêmes conséquences liées à la RGPD. » Le secrétaire d'Etat au numérique, Mounir Mahjoubi, demande à Uber des précisions sur l'impact de cette fuite de données pour les citoyens français, relate un article de nos confrères du Monde avec l'AFP.

Erreur humaine mais pas que…

Que savons-nous de cette attaque ? « Les hackers ont réussi à accéder à des comptes GitHub, une plateforme mondialement utilisée par les développeurs, pour accéder à des fichiers contenant des identifiants et des mots de passe d’accès aux serveurs d’Uber, hébergés chez Amazon », nous explique Luis Delabarre. L’expert explique que de nombreuses entreprises utilisent cette plateforme pour y centraliser des fichiers sources ou des données. En utilisant les identifiants d’accès aux serveurs, les hackers ont pu accéder à la base de données des clients et chauffeurs Uber.

L’expert Malwarebytes s’interroge tout de même sur la démarche de la société américaine qui a accepté de payer les hackers : « Maintenant que l’information est publique, on peut imaginer qu’un certain nombre de hackers soit intéressé par cette même approche. Si une société comme Uber a accepté de payer, d’autres le feront nécessairement… » Et de préciser que, si les comptes d’accès voire même les données personnelles avaient été sécurisées, notamment avec des méthodes d’authentification ou de cryptage, les hackers n’auraient sûrement pas pu accéder aux serveurs. Uber affirme avoir pris des dispositions pour renforcer sa sécurité… une conséquence positive de l’affaire ! 

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Pour bien commencer la semaine : Chez Renault, un jumeau numérique pour optimiser la production

Pour bien commencer la semaine : Chez Renault, un jumeau numérique pour optimiser la production

Difficile de trouver la motivation en ce début de semaine ? Voici une petite sélection d’innovations qui pourraient vous aider[…]

Avec le jumeau numérique de Cosmo Tech, Renault optimise sa production de moteurs

Avec le jumeau numérique de Cosmo Tech, Renault optimise sa production de moteurs

Intelligence artificielle : comment Facebook veut doter les robots d’un « sens commun »

Intelligence artificielle : comment Facebook veut doter les robots d’un « sens commun »

Avec sa « Ruche », Thalès apporte de l’agilité au développement des solutions de cyberdéfense

Avec sa « Ruche », Thalès apporte de l’agilité au développement des solutions de cyberdéfense

Plus d'articles