Ils se sont tus pendant un an, jusqu’à ce mardi. Dans un communiqué publié sur son site, la société de voiture de tourisme avec chauffeur (VTC) Uber a révélé avoir fait l’objet d’un piratage massif. A la fin de l’année 2016, les données personnelles de 57 millions d’utilisateurs de l’application dont celles de 600.000 chauffeurs ont été dérobées. A l’époque, les dirigeants ne communiquent pas et décident de payer une rançon de 100.000 dollars aux pirates en échange de leur silence et de la destruction des données.

« Cet incident a touché des comptes à l’échelle mondiale et les informations des passagers concernés comprenaient notamment les noms, adresses e-mail et numéros de téléphone portable indiqués sur leur compte », détaille le communiqué de la société. Les experts externes mandatés par Uber assurent en revanche que « l’historique des trajets, les numéros de cartes et de comptes bancaires, les numéros de sécurité sociale et les dates de naissance des utilisateurs » n’auraient pas été piratés. Qui croire et que faire ? 20 Minutes fait le point.

• Que s’est-il passé ?
  

A la fin de l’année 2016, deux personnes extérieures à l’entreprise ont identifié une faille dans le service « cloud » (un serveur dématérialisé) utilisé par Uber. En pénétrant dans ce serveur, ils ont pu accéder à la plateforme contenant les données personnelles des utilisateurs et les télécharger. « L’incident n’a pas atteint les systèmes de l’entreprise ni son infrastructure », a tenu à préciser le tout nouveau PDG d'Uber, Dara Khosrowshahi.

« C’est comme s’ils avaient cambriolé une boîte qui contenait des clés permettant d’accéder la maison principale, ils n’ont pas attaqué la serrure de la maison principale », développe Nicolas Arpagian, auteur d’un « Que sais-je » sur La cybersécurité. « Mais ce qui est reproché à Uber, ce n’est pas tant le piratage mais le fait de l’avoir caché pendant un an aux autorités. Ils avaient conscience du caractère dommageable de l’attaque », poursuit l’expert en cybersécurité. Au silence de la société s’ajoute le compromis passé avec les pirates.

• Qui est touché par ce piratage ?
  

Dès mardi, le service de VTC a tenté d’éteindre l’incendie en précisant que seuls « les noms des utilisateurs ainsi que leurs adresses électroniques et numéros de téléphone mobile ont été subtilisés ainsi que les noms et numéros de permis de conduire des chauffeurs ». En revanche, les pirates n’auraient ni coordonnées bancaires, ni historiques des trajets des clients ni date de naissance ou numéro de sécurité sociale.

Contacté par 20 Minutes, Uber ajoute : « Après l’incident, Uber a apporté un certain nombre d’améliorations à ses contrôles d’accès, notamment en ajoutant l’authentification multifacteur à un plus grand nombre de services que nos ingénieurs utilisent pour effectuer leur travail ». Quant à savoir si les données de clients français comptent parmi les 57 millions subtilisées, Uber n’a pour l’heure fourni aucune précision.

• Que peuvent faire les clients Uber ?
  

Experts et juristes sont unanimes : il est trop tôt pour évaluer l’ampleur du préjudice. « Au regard des données volées, il est difficile de faire quoi que ce soit à part rester attentif aux mails qui arrivent sur votre boîte mail, prévient Gérôme Billois, expert en cybercriminalité au cabinet Wavestone. Il est possible qu’on voit apparaître dans les jours à venir des répliques à cette crise avec d’autres piratages à base de faux emails signés Uber incitant les clients à fournir leurs données contre une course gratuite par exemple ».

La société, elle, conseille à ses clients de « ne rien faire » : « Nous avons averti diverses autorités réglementaires et gouvernementales et nous espérons avoir des discussions rapidement avec eux. Jusqu’à ce que nous terminions ce processus, nous ne sommes pas en mesure d’entrer dans plus de détails. Donc pour le moment, il n’y a rien à faire en prévention, Uber s’est déjà chargée de faire tout ce qu’il fallait ». Rien ne vous empêche en revanche de prendre attache avec le service client pour demander si votre compte fait partie des données piratées.

• Que risque Uber ?
  

Une réglementation européenne attendue au 25 mai 2018 pourrait bientôt tout changer. «Intitulé RGDP ou Règlement européen sur la protection des données, ce texte prévoit une obligation de notifier à la CNIL tout incident comportant des violations de données à caractère personnelles dans un délai de 72h (…) En cas de manquements, l’entreprise pourra se voir infliger une sanction financière allant jusqu’à 2 ou 4 % du chiffre d’affaires global de l’entreprise », détaille Garance Mathias, avocate spécialiste de la protection des données personnelles et du droit de la propriété intellectuelle.

Pour l’heure, les utilisateurs français d’Uber ont deux recours : saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) ou les associations de consommateurs. Enfin depuis 2014, la législation permet aux victimes d’un même préjudice de la part d’une entreprise de mener une «action de groupe». Une procédure au cours de laquelle il sera demandé aux clients d’Uber de démontrer leur éventuel préjudice.