La Cnil a prononcé une amende de 400 000 € l’encontre de la société Uber pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC. Tout est parti de la révélation en novembre 2017, par Uber qu’un an auparavant, deux individus avaient dérobé les données personnelles de 57 millions d’utilisateurs de ses services.
Enquête au niveau européen
A la suite de cette révélation, le G29 (Groupe des CNIL européennes) a créé un groupe de travail dans le but de coordonner les procédures d’investigation de différentes autorités de protection des données. L’enquête a mis en lumière les différentes étapes du vol de données.
Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont utilisé ces identifiants pour accéder à un serveur sur lequel sont stockées les données. Ils ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.
La CNIL estime que cette attaque n’aurait pas pu aboutir si des mesures qu’elle considère comme élémentaires en matière de sécurité avaient été mises en place. Elle estime que Uber aurait dû faire en sorte que ses ingénieurs se connectent à la plateforme « Github » avec une mesure d’authentification forte, avec un identifiant et un mot de passe puis un code secret envoyé sur un téléphone.
Maladresses de gestion des identifiants de connexion
Uber n’aurait pas dû non plus stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur. Pour l’accès aux serveurs du Cloud « Amazon Web Services S3 » contenant les données des utilisateurs, Uber aurait dû mettre en place un système de filtrage des adresses IP.
La Cnil considère que Uber a manqué à son obligation de sécurité des données personnelles. Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, est condamné à une amende de 400 000 €. Compte tenu de la date des faits, le RGPD n’était pas applicable.
D’autres autorités européennes ont pris des sanctions en lien avec ces faits. Le 6 novembre 2018, l’autorité néerlandaise de protection des données a prononcé une amende de 600 000 € à l’encontre d’Uber pour manquement à l’obligation de notification de la violation de données. Le 26 novembre, l’autorité britannique a prononcé une sanction de 385 000 £ pour manquement à l’obligation de sécuriser les données.
