Données personnelles Uber écope de 400 000 € d’amende

Données personnelles

Uber écope de 400 000 € d’amende

Publié le : 21/12/2018 

En novembre 2017, Uber a révélé que les données de 57 millions de ses utilisateurs, dont 1,4 million en France, étaient dans la nature. Après un an d’enquête, la Commission nationale de l’informatique et des libertés(Cnil) estime que quelques précautions élémentaires de sécurité auraient permis d’éviter cette fuite. Uber écope de 400 000 € d’amende pour sanctionner cette négligence.

 

Cette fois, l’information ne sera pas passée sous silence. En octobre 2016, Uber a été victime d’un piratage informatique qu’il a dissimulé pendant plus d’un an à ses utilisateurs. L’entreprise n’a révélé cette information qu’en novembre 2017, expliquant que deux individus avaient mis la main sur les données personnelles de 50 millions d’utilisateurs et de 7 millions de chauffeurs : 1,4 million de personnes étaient concernées en France. Ce nombre conséquent a poussé la Cnil à rendre publique sa sanction : Uber écope d’une amende de 400 000 € pour n’avoir pas suffisamment sécurisé les données de ses utilisateurs.

Stockage en clair et authentification basique

Suite aux révélations d’Uber, la Cnil et le G29 (le groupe des Cnil européennes) ont ouvert une enquête pour comprendre l’origine de la fuite. « Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair […] Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données », explique la Cnil. Seulement voilà, quelques mesures élémentaires en matière de sécurité auraient suffi à empêcher cette intrusion. D’abord, les informations n’auraient jamais dû être stockées en clair. Ensuite, les mesures d’authentification pour accéder à la plate-forme auraient dû être plus strictes (avec, par exemple, un code secret envoyé sur un téléphone en plus d’un identifiant et d’un mot de passe). Enfin, plus technique, Uber aurait dû mettre en place un système de filtrage des adresses IP pour l’accès au serveur qui stocke les données des utilisateurs. La sanction de la Cnil est en phase avec celles prononcées par ses homologues britannique (385 000 £, soit 425 000 €) et néerlandaise (600 000 €).

Camille Gruhier