Uber a récemment révélé que des pirates informatiques ont pénétré dans ses systèmes en octobre 2016 et ont volé les données de 57 millions d’utilisateurs et de conducteurs. Le PDG Travis Kalanick a alors décidé de verser 100 000 euros aux envahisseurs pour étouffer l’affaire.
Le Wall Street Journal a découvert que le nouveau PDG, Dara Khosrowshahi, était déjà au courant de l’invasion deux semaines après son entrée en fonction ? et plus de deux mois avant de la rendre publique.
Des sources indiquent que Khosrowshahi a immédiatement ordonné une enquête, qu’il a voulu mener à bien avant de divulguer l’affaire. Cependant, Uber a communiqué ces détails il y a trois semaines à la SoftBank, qui prévoyait d’investir un milliard de euros dans la société.
L’enquête a été menée par Mandiant, après une analyse des systèmes et plusieurs entretiens avec les employés. Uber ne voulait révéler l’effraction que lorsqu’il pourrait déterminer le nombre exact de comptes compromis.
Aux États-Unis, il n’existe pas de loi fédérale obligeant les entreprises à signaler les fuites. En revanche, il existe un certain nombre de lois d’État, et la plupart d’entre elles permettent aux consommateurs et aux organismes de réglementation d’être informés dans un délai de huit semaines.
Cette année, Equifax – l’un des trois plus grands services de protection du crédit aux États-Unis – a découvert que des pirates informatiques avaient volé des données à 143 millions d’Américains, mais n’a informé le public qu’après environ 40 jours.
Néanmoins, Uber devra fournir des éclaircissements supplémentaires. Plusieurs États américains, la Commission fédérale du commerce (FTC) et au moins trois agences gouvernementales en Europe ont ouvert des enquêtes sur la fuite. L’entreprise affirme qu’elle coopère avec les autorités.
Selon M. Khosrowshahi, la fuite comprend les noms, les adresses électroniques et les numéros de téléphone des utilisateurs, ainsi que les numéros de permis de conduire d’environ 600 000 partenaires. Les données financières, telles que les numéros de cartes de crédit, n’ont pas été consultées ; et rien ne prouve que des informations personnelles aient été utilisées pour commettre des fraudes, telles que des mensonges idéologiques.
Pour cacher la fuite, l’ancien PDG Kalanick a payé 100 000 euros aux pirates informatiques dans le cadre du programme “bug bounty” d’Uber. Il a appris l’attaque en novembre 2016 et a autorisé le paiement. En juin de cette année, il a démissionné. Les deux employés qui ont négocié avec les pirates informatiques – dont le chef de la sécurité (CSO) – ont été licenciés.
