Fuite de données : la CNIL inflige une amende de 400 000 euros à Uber

La CNIL vient d’infliger une amende de 400 000 euros à Uber, suite à l’attaque dont avait été victime l’entreprise fin 2016. L’autorité administrative estime que le géant du VTC a multiplié les « négligences », ce qui a permis à des pirates de s’emparer de données visant plus d’un million de Français.

L’affaire avait fait grand bruit, en novembre 2017. Uber avait publiquement reconnu s’être fait dérober des données personnelles, relatives à plus de 57 millions de ses utilisateurs de par le monde : noms, prénoms, adresses emails, ville ou pays de résidence, numéro de téléphone mobile, statut de conducteur et/ou de passager...

Au-delà de l’ampleur de la fuite, l’attitude de la société avait suscité beaucoup de critiques. Uber a en effet attendu plus d’un an avant de communiquer sur ce piratage, qui remontait à octobre 2016. Le géant du VTC avait dans le même temps accepté de payer une rançon de 100 000 dollars, afin que les données soient détruites (sans aucune garantie bien sûr), le tout dans l'espoir de ne pas ébruiter l'hémorragie.

Parmi les utilisateurs concernés par cette violation de données personnelles, se trouvaient 1,2 million de passagers et 163 000 conducteurs relevant du territoire français. Après une année de procédure, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné hier la filiale française d’Uber.

Un « enchainement de négligences »

Au fil de la délibération de la CNIL, votée mercredi 19 décembre, on apprend que « le succès de l’attaque menée par les pirates a résulté d’un enchainement de négligences ».

Uber a expliqué à la gardienne des données personnelles que « des personnes extérieures » avaient tout d’abord « obtenu l'accès à un espace de travail privé Uber sur GitHub », la célèbre plateforme de développement logiciel. Les attaquants auraient en effet utilisé les identifiants de certains ingénieurs de la firme (composés notamment d’une adresse email personnelle) pour accéder à GitHub, et y trouver « une clé d’accès inscrite en clair dans un fichier de code source ».

Grâce à ce sésame, les pirates ont ensuite pu accéder « à la plateforme d’hébergement (...) où sont stockées les données à caractère personnel des utilisateurs des services Uber », d’où ils ont pu siphonner ces importantes quantités de données personnelles.

Uber « n’a pas pris toutes les précautions utiles »

Pour la CNIL, Uber « a fait preuve de négligence en ne mettant pas en place certaines mesures élémentaires de sécurité ». L’autorité considère en ce sens que « la société n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées », d’où résulte un manquement à son obligation, posée par la loi Informatique et Libertés, d’assurer « la sécurité et la confidentialité » des données qui lui sont confiées.

 « Ce manque de précautions généralisé est manifeste dans la mesure où le succès de l’attaque menée par les pirates a résulté d’un enchainement de négligences, illustré par les trois étapes de l’attaque », insiste l’institution. En défense, Uber soutenait pourtant avoir mis en place des mesures de sécurité suffisantes.

S’agissant de GitHub tout d’abord, le géant du VTC a expliqué à la CNIL que la plateforme recommandait elle-même l’utilisation d’identifiants personnels. Mais pour l’autorité indépendante, « il revenait bien à la société, en tant que responsable de traitement, d’adopter des règles à même de garantir la sécurité des informations stockées sur GitHub » (par exemple, « un identifiant et un mot de passe puis un code secret envoyé sur un téléphone »). Et ce même si ces données « ne constituaient pas en elles-mêmes des données à caractère personnel ».

La CNIL souligne au passage que « l’absence de processus relatif au retrait des habilitations des anciens ingénieurs constitue une négligence importante puisque la société était dans l’impossibilité de garantir que des personnes ayant quitté la société ne continuaient pas d’accéder aux projets développés sur Github ».

Quant à la présence en clair d’identifiants d’accès aux serveurs dans du code source hébergé sur GitHub, Uber a plaidé l’erreur humaine, isolée, la société recommandant à ses employés de ne pas stocker directement d’identifiants dans des fichiers de code. Pour la gardienne des données personnelles, ceci démontre toutefois que le géant des VTC « avait conscience d’une part, que des identifiants d’accès étaient potentiellement présents dans son code source et d’autre part, que la présence de telles informations au sein de GitHub était une source de risques ».

Or, il était « impératif » aux yeux de la CNIL que de tels identifiants ne soient pas enregistrés dans un fichier non protégé, étant donné qu’ils permettaient « de se connecter de manière sécurisée à des serveurs contenant une grande quantité de données à caractère personnel ».

Enfin, la commission estime qu’Uber aurait dû instaurer « un système de filtrage des adresses IP, quand bien même cela nécessitait un long développement ». Compte tenu du « nombre très important de personnes » dont les données personnelles étaient conservées sur les serveurs, une telle mesure « constituait un effort nécessaire qui aurait dû être planifié dès le début de l’utilisation des services ».

Une sanction rendue publique, toujours pas sur le fondement du RGPD

Au regard du nombre de personnes concernées, au niveau de la France, par cette fuite de données (1,2 million de passagers et 163 000 conducteurs), la CNIL a décidé d’infliger une sanction pécuniaire de 400 000 euros à Uber. Les faits étant antérieurs à l’entrée en application du RGPD, l’institution ne pouvait en effet aller au-delà du plafond fixé par la loi Informatiques et Libertés – jusqu’à 3 millions d’euros, proportionnellement « à la gravité du manquement commis et aux avantages tirés de ce manquement ».

L’entreprise estimait cependant que cette amende était trop sévère, notamment parce qu’elle avait « réagi promptement en prenant les mesures nécessaires afin de limiter l’impact de la violation », « communiqué l’existence de la violation au public », et que la fuite n’avait « causé aucun préjudice aux personnes concernées ».

Des arguments qui n’ont pas convaincu la commission, pour qui « la preuve de l’absence totale de dommage » ne pouvait être invoquée par la société. Même si aucun problème ne semble avoir été signalé, rien n’empêche les pirates de faire « un usage ultérieur » de leur « butin », poursuit la CNIL.

Au regard de « la gravité du manquement », « du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données », l’autorité a en outre décidé de rendre sa décision publique.

Une mise à l’index qui risque sûrement de faire davantage de tort à Uber que l’amende décidée par la CNIL. Comme le rappelle l’institution, le géant du VTC a enregistré l'année dernière un chiffre d'affaires avoisinant les 6 milliards d’euros.