Dans le cadre de son pouvoir de sanction, la Commission nationale informatique et libertés (CNIL) vient de prononcer une amende de 400 000 euros à l’encontre d’Uber. Cette dernière fait suite au vol de données ayant touché 1,4 million d'utilisateurs en France. En effet, En décembre 2017, la firme avait dévoilé que les comptes de 57 millions de clients dans le monde avaient été piratés.
Après une enquête européenne coordonnée par le G29 (ndlr : l’entité qui rassemble les équivalents de la CNIL en Europe), la Commission a conclu que cette faille aurait pu être évitée, si Uber avait mis en place certaines mesures élémentaires en matière de sécurité. Elle retient donc un manquement à son obligation de sécurité des données personnelles.
Image CNIL
Les investigations ont révélé que les pirates ont pu accéder aux identifiants des clients, stockés en clair sur la plateforme Github, afin de les utiliser pour télécharger les données depuis un serveur. Les faits reprochés ayant eu lieu avant l’entrée en vigueur du RGPD, les nouvelles sanctions ne sont pas applicables. En effet, l'amende actuellement pour ce genre de fait peut désormais aller à jusqu’à 4% du chiffre d'affaires mondial.
La formation restreinte de la CNIL a estimé cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place. Elle a notamment souligné que:
• la société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement « Github » grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ; • elle n’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur ; • pour l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.
