Il semblait que la phase des scandales impliquant Uber était passée, mais une autre est apparue : la société a admis que ses systèmes avaient été attaqués en octobre 2016 et que, dans l’action, les données de plus de 57 millions d’utilisateurs et de conducteurs avaient été saisies.
L’invasion a été révélée par Dara Khosrowshahi, l’actuel PDG d’Uber. Pourquoi seulement maintenant ? Dans le communiqué officiel, l’exécutif dit s’être posé la même question, c’est pourquoi il a demandé une enquête approfondie et a pris des mesures dès qu’il a découvert le problème.
Khosrowshahi a pris la direction de l’entreprise à la fin du mois d’août. Il est donc normal qu’il l’ait découvert tardivement. L’attaque s’est produite alors que Travis Kalanick était responsable de la gestion de l’entreprise. Selon Bloomberg, l’ancien PDG a appris l’incident un mois après qu’il se soit produit, alors qu’Uber était en train de traiter des poursuites judiciaires concernant la sécurité des données et la violation de la vie privée.
Dans la foulée, Uber s’est efforcé d’empêcher que l’attaque ne fasse la une des journaux. Le chef de la sécurité Joe Sullivan et un autre cadre non identifié auraient alors donné aux envahisseurs 100 000 euros en échange du secret et de l’élimination des données saisies.
Ce n’est pas rien. Des informations telles que les noms, les e-mails et les numéros de téléphone de plus de 50 millions d’utilisateurs ont été divulguées. Les données de 7 millions de conducteurs ont également été saisies, dont 600 000 sont actifs aux États-Unis. Des données plus importantes, telles que les numéros de carte de crédit et de sécurité sociale, n’auraient pas été consultées.
Les détails de l’attaque sont rares, mais on sait que deux pirates informatiques ont eu accès à un compte GitHub utilisé par les développeurs d’Uber et ont ensuite utilisé les informations d’identification qui y ont été obtenues pour se connecter au serveur d’une entreprise sur Amazon Web Services. De là, les informations sensibles étaient saisies et utilisées comme moyen de chantage : si Uber ne payait pas, les données étaient divulguées.
Il semble raisonnable de payer la rançon, compte tenu de la gravité de l’incident. Cependant, plusieurs lois américaines obligent les entreprises qui ont subi des attaques à alerter les utilisateurs et les autorités concernées. C’est ce que Khosrowshahi fait maintenant. Tout porte à croire que l’incident n’a été découvert que grâce aux audits internes que l’exécutif a promus depuis qu’il est devenu PDG pour mettre Uber sur les rails.
En raison du retard dans la déclaration de l’attaque, il est possible que l’entreprise fasse l’objet de sanctions de la part des autorités américaines, ainsi que de poursuites judiciaires. En tout cas, Uber a annoncé des mesures pour atténuer les conséquences, notamment le licenciement des deux cadres qui auraient couvert l’invasion.
Parmi les autres mesures, citons les directives pour les conducteurs qui ont eu accès à leur numéro de permis, le contrôle et l’application de la protection contre le vol d’identité, et l’embauche de Matt Olsen, ancien conseiller en sécurité de la NSA et directeur du Centre national antiterroriste des États-Unis, pour guider la restructuration des équipes et des processus de sécurité d’Uber.
Selon l’entreprise, il n’y a pas de preuve d’une utilisation abusive des données des utilisateurs, mais tous les comptes concernés sont surveillés. Il n’y a pas non plus d’informations sur les comptes concernés en France.
Kalanick était recherché, mais il n’a pas fait de commentaires.
