La CNIL[1] a sanctionné la société UBER, le 19 décembre 2018, pour des négligences ayant entrainé la divulgation de données personnelles de ses clients et chauffeurs.

Un an plus tôt, le 21 novembre 2017, la plateforme de réservation de VTC a revélé sur son site Internet que « deux individus extérieurs à la société avaient accédé aux données de 57 millions d’utilisateurs des services UBER », dont 1,4 million d’utilisateurs français (1,2 million de passagers et 163 000 conducteurs). Ces données contenaient le nom et prénom des personnes, l’adresse e-mail, la ville ou pays de résidence et leur numéro de téléphone.

Pour obtenir ces données, les attaquants ont utilisé les identifiants personnels d’un des ingénieurs de la société. Ces identifiants leur ont permis d’accéder à la plateforme en ligne (GitHub) dans laquelle UBER conservait le code informatique de son application et dans laquelle se trouvait une clé d’accès permettant d’accéder aux bases de données de la société.

La CNIL a rappelé à la société américaine que « toutes précautions utiles » devaient être prises pour « préserver la sécurité des données et, notamment, empêcher […] que des tiers non autorisés y aient accès. ». En l’espèce, la Commission française considère que la société UBER « a fait preuve de négligence », car :

  • les accès des ingénieurs à la plateforme (GitHub) contenant le code n’étaient pas retirés lorsqu’ils quittaient la société, ce qui « constitue une négligence importante puisque la société était dans l’impossibilité de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés » ;
  • les clés d’accès aux serveurs de la société étaient stockées « en clair » dans le code ;
  • l’accès aux serveurs étaient conditionnés uniquement à des identifiants et mots de passe, mais n’étaient pas couplés, par exemple, à d’autres mesure, comme une mesure de filtrage des adresses IP.

Une amende de 400 000 euros a été prononcée à l’encontre de la société UBER, soit 0,007 % du chiffre d’affaires[2] de la société.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La société UBER déclare réaliser un chiffre d’affaires de 6 milliards d’euros en 2017 (source : délibération de la CNIL).