Menu
Donnez votre avis

La CNIL condamne Uber à 400 000 € d'amende

Benjamin Walewski - jeudi 20 décembre 2018 - 14:57
La CNIL condamne Uber à 400 000 € d'amende
Après le vol des données de 1,4 million de Français, la CNIL vient d'infliger une amende de 400 000 euros à Uber.

(CCM) — Faisons, si vous le voulez bien, un retour fin novembre 2017 : l'entreprise américaine de VTC Uber avoue benoîtement avoir été victime d'un colossal piratage en 2016. Le fait d'avoir passé trop longtemps sous silence ce piratage avait créé autant de scandale que le nombre de clients lésés : 57 millions d'utilisateurs avaient vu leurs informations dérobées, dont 1,4 millions d'utilisateurs français. En conséquence de quoi, la Commission nationale de l’informatique et des libertés (CNIL) s'est fâchée tout rouge et a décidé de sévir.

Mais pour ce faire, la CNIL s'est d'abord concertée avec ses consœurs européennes - toutes rassemblées dans l'organisation G29 - pour "coordonner les procédures d’investigation de différentes autorités de protection des données", ainsi que l'explique le communiqué de presse diffusé par la CNIL. L'enquête, qui aura donc duré environ un an, a permis d'établir le scénario de l'attaque et les responsabilités d'Uber.

La CNIL explique ainsi que les pirates ont pu accéder à des identifiants de serveur Uber stockés sans cryptage sur la plateforme de développement GitHub. Une fois ces identifiants récupérés, ils n'avaient plus qu'à se connecter aux serveurs de données et à télécharger tout ce qu'ils pouvaient. Ce qu'ils ont bien sûr fait.

La CNIL estime par ailleurs qu'Uber a failli sur trois points précis : l'absence d'une "mesure d’authentification forte" pour les ingénieurs et développeurs se connecter à GitHub; le fait d'y avoir stocker des identifiants sans absolument cryptage et enfin de ne pas avoir mis en place de système de filtrage d'IP sur les serveurs Amazon hébergeant les données utilisateurs.

D'où cette condamnation à une amende de 400 000€, qui aurait pu être plus élevée si les faits s'étaient passé après l'application du Règlement général de protection des données (RDPD). C'est une troisième amende européenne, car les équivalents britanniques et néerlandais de la CNIL ont déjà infligé à Uber des amendes respectives de 385 000 livres et 600 000 euros.

Photo : © iStock.
Ajouter un commentaire

Commentaires

Commenter la réponse de Utilisateur anonyme