La Cnil a prononcé une amende de 400 000 € l’encontre de la société Uber pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC. Tout est parti de la révélation en novembre 2017, par Uber qu’un an auparavant, deux individus avaient dérobé les données personnelles de 57 millions d’utilisateurs de ses services.
Enquête au niveau européen
A la suite de cette révélation, le G29 (Groupe des CNIL européennes) a créé un groupe de travail dans le but de coordonner les procédures d’investigation de différentes autorités de protection des données. L’enquête a mis en lumière les différentes étapes du vol de données.
Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont utilisé ces identifiants pour accéder à un serveur sur lequel sont stockées les données. Ils ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.
La CNIL estime que cette attaque n’aurait pas pu aboutir si des mesures qu’elle considère comme élémentaires en matière de sécurité avaient été mises en place. Elle estime que Uber aurait dû faire en sorte que ses ingénieurs se connectent à la plateforme « Github » avec une mesure d’authentification forte, avec un identifiant et un mot de passe puis un code secret envoyé sur un téléphone.
Maladresses de gestion des identifiants de connexion
Uber n’aurait pas dû non plus stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur. Pour l’accès aux serveurs du Cloud « Amazon Web Services S3 » contenant les données des utilisateurs, Uber aurait dû mettre en place un système de filtrage des adresses IP.
La Cnil considère que Uber a manqué à son obligation de sécurité des données personnelles. Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, est condamné à une amende de 400 000 €. Compte tenu de la date des faits, le RGPD n’était pas applicable.
D’autres autorités européennes ont pris des sanctions en lien avec ces faits. Le 6 novembre 2018, l’autorité néerlandaise de protection des données a prononcé une amende de 600 000 € à l’encontre d’Uber pour manquement à l’obligation de notification de la violation de données. Le 26 novembre, l’autorité britannique a prononcé une sanction de 385 000 £ pour manquement à l’obligation de sécuriser les données.
Top lectures en ce moment
-
Stellantis adopte les agents IA, arcbouté sur une plateforme d’IA bâtie avec Dat...
-
La CDP (Customer Data Platform), un projet clé de la transformation Data d’Axa F...
-
L’e-commerçant BackMarket crée des agents IA pour stopper la fraude logist...
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Et vous, qu’en pensez-vous ?
Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.
Je réagis à cet article