Suite à une attaque ransomware, ne jamais payer de rançon. Après une fuite ou un vol de données saisir les autorités compétentes… Voilà au moins deux règles de conduite que Uber a superbement ignorées en octobre 2016.
Comme l’a révélé Bloomberg puis confirmé rapidement Dara Khosrowshahi, nouveau CEO de Uber, l’entreprise américaine de VTC a été victime il y a un peu plus d’un an d’un vol de données concernant 57 millions de clients et chauffeurs, soit une bonne partie des données personnelles qu’elle a à gérer (Uber revendiquait 40 millions de clients actifs par mois à l’automne 2016). C’était du temps où le fondateur Travis Kalanick était encore aux commandes avant d’être écarté en juin dernier pour, entre autres, avoir laissé prospérer un climat sexiste au sein de l’entreprise.
L’attaque d’octobre 2016 réalisée semble-t-il par un simple vol d’identifiants d’un développeur Uber n’a été révélée à Travis Kalanick qu’un mois après. On ne sait pas s’il a lui-même ordonné le paiement d’une rançon de 100000 $ aux deux hackers ou si le Chief Security Officer Joe Sullivan a pu dans un premier temps lui dissimuler la conciliation sous couvert d’une opération de bug bounty. Joe Sullivan et l’un de ses adjoints ont été limogés il y a quelques jours.
50 millions de clients concernés dans le monde
Sans confirmer le paiement de la rançon, Dara Khosrowshahi a présenté ses excuses ce mardi, indiquant qu’il n’avait eu connaissance de l’affaire que récemment. Les données dérobées concernent les numéros de permis de conduire de 600000 chauffeurs Uber aux USA ainsi que certaines informations personnelles de 50 millions de clients et 7 millions de chauffeurs Uber dans le monde incluant des noms, adresses mail et numéros de mobiles mais pas d’informations bancaires ni d’historiques de déplacements semble-t-il.
Le patron d’Uber annonce qu’il a demandé l’expertise de Matt Olsen cofondateur d’IronNet Security (et ancien conseil de la NSA) pour restructurer ses équipes et ses procédures en matière de sécurité de l’information.
Très vite après les aveux officiels une enquête a été ouverte hier par Eric Schneiderman, le procureur général de New York, celui-là même qui avait déjà traité le précédent dossier de fuite de données non signalée par Uber en 2014. Autant dire que la récidive risque de faire mal, très mal, au géant du VTC qui envisageait une prochaine introduction en bourse.