À son tour, la CNIL inflige une amende de 400 000 euros à Uber
Cybersécurité

À son tour, la CNIL inflige une amende de 400 000 euros à Uber

Un par un, les pays européens punissent Uber pour atteinte à la protection des données.

La Commission Nationale de l’Informatique et des Libertés (CNIL), a décidé de punir le géant américain Uber. L’organisme français de surveillance de la protection des données inflige une amende de 400 000 euros à l’application préférée des chauffeurs de VTC pour atteinte à la protection des données de ses utilisateurs. En octobre 2016, Uber avait été la cible d’une cyberattaque qui rendait accessibles les données de 57 millions d’utilisateurs et de chauffeurs. Cet incident avait été volontairement caché pendant plus d’un an. Le hacker était un homme de 20 ans qui vivait en Floride. La CNIL pense que cette faille aurait pu être évitée et décide de sévir.

Pour l’organisme de surveillance, cet évènement était une combinaison de petites actions manquantes en termes de sécurité. À l’époque de l’attaque, 1,4 millions de français avaient été touché et sur les 57 millions d’utilisateurs touchés autour du monde, 50 millions étaient des utilisateurs, et 7 millions des chauffeurs. 600 000 numéros de permis de conduire avaient pu être récupérés par le hacker.

Selon le rapport de la CNIL, le hacker assisté d’un complice a réussi à se connecter aux dépôts GitHub d’Uber en utilisant le login et le mot de passe de certains employés. Il a ensuite réussi à se connecter au compte Amazon Web Services d’Uber et a téléchargé les données des utilisateurs. Pour la CNIL cette attaque aurait pu être évitée si plusieurs mesures avaient été prises. Notamment si Uber avait rendu l’authentification à deux facteurs obligatoire pour les dépôts privés de GitHub et si la société n’avait pas stocké les informations de connexion Amazon Web Services en texte clair sur GitHub.

À l’époque, Uber avait tenté de camoufler cette faille de sécurité en payant une rançon de 80 000 € aux pirates pour qu’ils suppriment l’ensemble des données. Cela n’aura pas suffit à faire taire cette histoire. Avant la CNIL, d’autres organismes avaient déjà condamné Uber, notamment au Royaume-Uni et aux Pays-Bas. Aujourd’hui, le montant total des amendes s’élève donc à 1,4 million d’euros.

 

Send this to a friend