400 000 euros d’amende pour Uber France sanctionné par la Cnil
La Cnil annonce qu’elle vient de prononcer une sanction de 400 000 euros à l’encontre d’Uber France pour avoir «insuffisamment sécurisé les données des utilisateurs de son service de VTC».
Pour rappel, en novembre 2017, Uber avait révélé que les données de 57 millions d’utilisateurs, dont 7 millions de chauffeurs (600 000 conducteurs américains), avaient été piratées à la fin de l’année 2016. Travis Kalanick, qui dirigeait alors l’entreprise, avait même été accusé d’avoir versé 100 000 dollars aux hackers pour qu’ils ne divulguent pas l’existence de cette attaque et détruisent les informations collectées. C’est donc uniquement sous l’impulsion de Dara Khosrowshahi, son successeur, que l’affaire avait finalement été rendu publique.
1,4 million d’utilisateurs situés sur le territoire français
À la suite de cette révélation, les Cnil européennes ont créé un groupe de travail afin de coordonner les procédures d’investigation de différentes autorités de protection des données. L’enquête menée permet d’en savoir un peu plus sur la manière dont les hackers ont procédé. «Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement Github. Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 million situés sur le territoire français», décrit l’organisme.
Si la Cnil a décidé de sanctionner Uber, c’est parce qu’elle estime que cette attaque aurait pu être évitée simplement en mettant en place des mesures élémentaires de sécurité. Ainsi, pour l’organisme, Uber aurait dû prévoir que ses ingénieurs se connectent à Github grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone). De plus, l’entreprise n’aurait pas dû stocker en clair au sein du code source de la plateforme des identifiants permettant d’accéder au serveur et elle aurait dû mettre en place un système de filtrage des adresses IP pour l’accès aux serveurs Amazon Web Services (AWS) S3 contenant les données des utilisateurs, poursuit l’organisme. À noter que la sanction ne tombe pas sous le coup du RGPD puisqu’il n’était pas encore entré en vigueur au moment de l’attaque.
Cette somme vient s’ajouter aux sanctions prises par d’autres pays européens dont 600 000 euros prononcés par l’autorité néerlandaise de protection des données et 385 000 livres (environ 425 810 euros) par les britanniques. Côté américain, en revanche, la sanction a été beaucoup plus lourde. Uber a conclu en septembre un accord à l’amiable avec les autorités américaines d’un montant de 148 millions de dollars. Soit la plus importante amende jamais infligée dans le cadre d’un accord relatif à une violation de données.
- EDEN AI lève 3 millions d’euros pour démocratiser l’accès à l’IA en entreprise - 21/11/2024
- Plan marketing 2025 : la méthode de Maxime Baumard pour structurer la stratégie B2B de PENNYLANE - 21/11/2024
- Freqens lève 3 millions d’euros pour accompagner les équipes achats dans leurs décisions. - 21/11/2024
