Le nouveau PDG de Uber montre patte blanche. Celui-ci révèle que fin 2016, Uber s’est fait voler les données de 57 millions de comptes, et a tenté de payer les pirates afin qu’ils les effacent.

Tout est piratable. Il n’est plus question de comment, mais de quand de nos jours alors que toutes nos informations importantes transitent sur le réseau. Nous nous devons donc de faire confiance aux entités les possédant pour les protéger.

Uber fait partie de celles-ci, étant l’un des services les plus utilisés possédant tout de même bon nombre d’informations sensibles nous concernant. Entre informations bancaires et localisation, nos données peuvent faire des ravages.

57 millions de comptes Uber volés fin 2016

Or, l’entreprise n’est pas si sécurisée qu’il n’y paraît. En octobre 2016, deux pirates ont réussi à récupérer les informations personnelles de 50 millions d’utilisateurs Uber et de 7 millions de conducteurs.

Ces données contenaient des noms, adresses mails et numéros de téléphone. 600 000 conducteurs américains ont même vu leurs permis de conduire être volés. Fort heureusement, les numéros de sécurité sociale, les informations bancaires et la localisation de ces comptes n’ont pas été compromis.

Uber a payé les pirates pour masquer l’affaire

Ces piratages arrivent, et les entreprises les subissant sont légalement obligées de les dévoiler. Mais… Uber a pris une autre direction. L’entreprise a tenté d’étouffer l’affaire en payant 100 000 dollars les pirates afin qu’ils détruisent les données récupérées.

C’est sous l’impulsion de Dara Khosrowshahi, nouveau PDG de Uber qui ne faisait pas partie de l’entreprise lors du hack, que nous l’apprenons aujourd’hui. Il promet que ces données n’ont pas été utilisées par des pirates, mais que de nouvelles mesures de sécurité ont été implémentées au sein d’Uber :

A l’époque de l’incident, nous avons pris des mesures immédiates afin de sécuriser les données et couper de potentiels futurs accès par ces individus. Nous avons également implémenté des mesures de sécurité restreignant l’accès et le contrôle de nos comptes basés sur le cloud.

Joe Sullivan, chef de la sécurité ayant géré ce piratage, et Craig Clark, avocat supervisant l’affaire, ont été remercié. Matt Olsen, ancien de la NSA, a été embauché afin de restructurer intégralement l’équipe sécurité de l’entreprise.

Ca ne s’arrêtera pas là

Évidemment, impossible de dévoiler une affaire de la sorte et s’en tirer simplement avec quelques déclarations. Une plainte officielle a été déposée en Cour Fédérale à Los Angeles à l’encontre d’Uber pour « manquement à l’implémentation et au maintien de procédures de sécurité et pratiques appropriées à la nature et la taille des informations compromises lors d’une faille de sécurité« .

Le procureur général de New York Eric Schneiderman a confirmé qu’il lancerait une enquête sur la fuite. Travis Kalanick, le PDG en charge d’Uber à l’époque du piratage, n’a également toujours pas réagi alors même qu’il fait toujours partie du conseil d’administration de l’entreprise.