Fuite de données : Uber avait averti Softbank, les CNIL européennes montent au front

Fuite de données : Uber avait averti Softbank, les CNIL européennes montent au front

Sur la brèche

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

24/11/2017 5 minutes
7

Fuite de données : Uber avait averti Softbank, les CNIL européennes montent au front

À peine révélée, la fuite de données chez Uber intéresse déjà plusieurs régulateurs européens, dont la CNIL. En France, Mounir Mahjoubi, secrétaire d’État au numérique, s’inquiète de l’impact sur les clients et chauffeurs français. Uber a dû également s’expliquer de ses priorités de communication, Softbank ayant été averti avant les régulateurs.

Il y a deux jours, on apprenait qu’Uber avait subi une attaque informatique sur ses systèmes en octobre 2016. Il a donc fallu plus d’un an à l’entreprise pour annoncer que 57 millions de comptes avaient été piratés, dont ceux de 7 millions de chauffeurs.

Parmi les informations personnelles volées, on trouve notamment 600 000 numéros de permis de conduite. Uber a assuré cependant qu’aucun numéro de carte bancaire ou de sécurité sociale n’avait été dérobé, pas plus que les informations liées aux déplacements. La société avait cependant accepté de payer la rançon de 100 000 dollars, afin que les données soient détruites (sans aucune garantie bien sûr), le tout dans l'espoir de ne pas ébruiter l'hémorragie.

Cependant, l’ampleur horizontale de la fuite questionne, tout autant que sa chronologie des réactions. Car non seulement le piratage remonte à plus d’un an, mais Softbank, qui pourrait investir jusqu’à 10 milliards de dollars dans Uber, a été mise au courant avant les régulateurs.

Un « devoir » d’avertir les investisseurs potentiels

À Reuters, Uber a en effet confirmé ce sens de la priorité : « Nous avons informé Softbank que nous enquêtions sur une fuite de données, en accord avec notre devoir de dévoiler [cette fuite] à un investisseur potentiel, même si nos informations à ce moment étaient préliminaires et incomplètes ».

Uber aurait donc attendu les conclusions de cette enquête pour contacter les régulateurs et avertir les clients. Mais les propos de l’entreprise ne font état d’aucune date. Or, la chronologie précise est importante.

Si l’on en croit le Wall Street Journal, Dara Khosrowshahi, directeur de l’entreprise, aurait été informé de la situation il y a environ deux mois. Ce dernier, dans un communiqué, annonçait n’avoir été mis au courant que « récemment ». Toujours selon nos confrères, Softbank aurait reçu les premiers éléments d’enquête il y a trois semaines. Des éléments qui n’ont pas été confirmés par Uber.

De quoi réviser les intentions de Softbank ? On se souvient que les multiples déboires de Yahoo en sécurité ont conduit Verizon à abaisser son offre de rachat de 350 millions de dollars (pour un montant final d’environ 4,5 milliards). Uber n’est pas à vendre, mais la confiance peut être écornée.

Des régulateurs européens se penchent déjà sur la fuite

En Europe, le groupe de travail 29 (ou G29) a inscrit le sujet à sa prochaine session, qui se tiendra les 28 et 29 novembre, sur demande de la présidente de la CNIL, Isabelle Falque-Pierrotin. L'autorité française nous a indiqué que c’était aux agences nationales d’ouvrir ces enquêtes, le rôle du groupe européen étant de les coordonner. Le service de communication ajoute qu’il n’a pas pour l'heure connaissance d’une initiative déjà lancée dans l’Hexagone.

L’Autriche, les Pays-Bas, la Pologne, l’Italie et le Royaume-Uni ont eux ouvert ces enquêtes. Aux Pays-bas notamment, où sont installés les quartiers d’Uber pour ses affaires européennes, la loi oblige toute entreprise à prévenir dans les 72 heures toute fuite de données, sous risque d'une amende pouvant grimper jusqu’à 820 000 euros.

Avec l’entrée en vigueur du RGPD en mai 2018, une telle situation sera gérée toute autrement car, comme aux Pays-Bas, les entreprises concernées auront 72 heures pour informer les CNIL, puisque des données personnelles identifiantes se trouvent dans les tuyaux. Sur le site Datajuristes, on évoque d'ailleurs des manquements potentiels aux articles 32 (défaut de sécurisation), 33 (avertissement des CNIL) et 34 (avertissement des clients concernés) du futur règlement européen.

Sans attendre l'enquête de la CNIL, sur le front politique, Mounir Mahjoubi, secrétaire d’État au numérique a adressé un courrier à Uber. Il demande notamment « si des utilisateurs français sont concernés et si oui combien, et de quel type sont les données qui ont été dérobées ». Il voudrait en outre savoir « quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ».

La société sera libre de lui répondre, alors qu’elle sera tenue de collaborer avec les enquêteurs de la CNIL.

Uber ne veut pas en dire davantage pour l'instant

Du côté d’Uber cependant, on se refuse à commenter davantage. « Nous avertissons actuellement les différentes autorités régulatrices et gouvernementales et nous attendons à discuter avec elles. Nous ne sommes pas en position de fournir d’autres détails tant que ce processus ne sera pas terminé » indique ainsi l’entreprise au Financial Times.

Comme le précise d’ailleurs le média, Uber ne risque pas des amendes qu’en Europe puisque plusieurs États américains - Massachusetts, Illinois et Connecticut – ont déjà annoncé ouvrir une enquête. La Federal Trade Commission indique elle aussi qu’une évaluation était en cours.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un « devoir » d’avertir les investisseurs potentiels

Des régulateurs européens se penchent déjà sur la fuite

Uber ne veut pas en dire davantage pour l'instant

Commentaires (7)


ils ont bien de la chance que l’on ne soit pas en juin 2018… Les autorités de protection des données européennes auraient pu les mettre à genou, et on aurait pu obtenir un peu de jurisprudence sur l’application de la GDPR.


Certes Uber “s’en sort bien”, mais il ne faut pas se leurrer. Des histoires comme celles-ci, il y a en plusieurs par mois (et encore, certaines restent bien cachées). Les premiers qui se feront prendre avec l’application du RGDP serviront d’exemple, j’espère que cela servira de rélévateur pour tous ceux qui gèrent les données persos de leurs clients.


Le plus important dans la fuite des données chez Uber c’est l’absence de communication sur une aussi longue période.

J’espère que les sanctions seront coordonnées et lourdes compte-tenu du manque de transparence. Il faut qu’il y ait un exemple pour que les entreprises arrêtent de dissimuler les fuites de données de LEURS CLIENTS. Car au final les clients peuvent se retrouver très exposer du fait du manquement à leur obligation.


Pas certain que la situation s’améliore beaucoup avec le RGPD.



D’après les premiers écho que j’en ai, la réaction de beaucoup de gros acteurs face à la RGPD va être de se décharger sur des services tiers pour la gestion des données.

Bref traitement du “problème” en mode “c’est mode pas nous” et comme conséquence une concentration encore plus forte dans les mains de ceux (GAFAM essentiellement)  capable de faire plier les institutions et échapper aux sanctions.

Le deuxième effet kiss cool risquant d’être la mise en difficulté d’acteurs locaux incapables de suivre les exigences du RGPD.



Bref je ne serais pas trop optimiste sur la suite :-/


dire qu’il suffirait pour régler le problème d’interdire à Uber d’exercer en Europe pendant 10 ans pour avoir délibérément caché l’information aux régulateurs européens… mais ne rêvons pas, l’UE n’est pas là pour défendre les intérêts des citoyens, ça se saurait depuis le temps








cyp a écrit :



Pas certain que la situation s’améliore beaucoup avec le RGPD.





Y’aura déjà l’obligation de remonter l’info aux entités étatiques type CNIL, ANSSI.

C’est déjà un bon début.



Tout le monde n’a pas la même puissance de traitement et de protection des données perso, on est d’accord.

Maintenant, la PME qui fait n’importe quoi avec son fichier client et fournisseurs, je vais pas la blamer de se faire toper pour avoir fait n’importe quoi, et même pas appliqué les bases de la protection de données.



Pour avoir bosser avec des données sensibles (monétique et transports), j’espère que ca fera aller dans le bon sens. Trop de laxisme, même dans des grands groupes français.

Le soucis avec les GAFA, c’est que pour le moment, y’en a pas beaucoup qui ont parlé d’appliquer la RGPD justement… Sans compter le choix de la localisation des données pour certains type de données justement ;)



D’après ce que j’ai compris en cas de défaillance du sous-traitant, la responsabilité sera conjointe.