Accueil Confidentialité des données Fuire de données des utilisateurs : Uber écope de 400 000 euros...

Fuire de données des utilisateurs : Uber écope de 400 000 euros d’amende

La CNIL condamne à une amende de 400 000 euros la société de VTC pour avoir insuffisamment sécurisé les données de ses utilisateurs.

A la suite de la révélation par Uber en novembre 2017 du vol de données personnelles de 57 millions d’utilisateurs, le groupe des CNIL européenne, alias le G29, a enquêté. Il a pu établir que les attaquants ont dans un premier temps accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel étaient stockées les données. Ils ont ou alors téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.

3 erreurs techniques majeures

Le G29 a alors pu émettre plusieurs reproches à Uber. D’abord l’absence “de mesure d’authentification forte” (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) pour accéder à la plateforme collaborative de développement « Github ». Ensuite le stockage “en clair au sein du code source de la plateforme « Github » des identifiants” permettant d’accéder au serveur. Enfin, l’absence “de système de filtrage des adresses IP” pour l’accès aux serveurs Amazon Web Services S3 contenant les données des utilisateurs.
La Cnil en a conclu qu’Uber “avait manqué à son obligation de sécurité des données personnelles“, et infligé une amende de 400 000 euros.  “Compte tenu de la date des faits, le RGPD n’était pas encore applicable“, précise l’autorité.

Les amendes s’accumulent

D’autres autorités européennes ont également pris des sanctions en lien avec ces faits. Le 6 novembre 2018, l’autorité néerlandaise de protection des données a prononcé une amende de 600 000 euros à l’encontre d’Uber pour manquement à l’obligation de notification de la violation de données. Le 26 novembre dernier, l’autorité britannique a prononcé une sanction de 385 000 £ pour manquement à l’obligation de sécuriser les données. Lire notre article : Uber écope d’1 million d’euros d’amende pour avoir passé sous silence un piratage de…

Aux Etats-Unis, Uber a passé un accord à l’amiable en septembre dernier et payé 148 millions de dollars.