Un ancien cadre d’Uber accusé d’avoir payé le "prix du silence" pour dissimuler une violation de données
Uber a été victime d'un piratage massif en 2016 et a préféré payer les hackers,
pour étouffer l'affaire
Des pirates informatiques ont volé les données personnelles de 57 millions de clients et de chauffeurs à Uber Technologies Inc., une violation massive que l'entreprise a dissimulée pendant plus d'un an. Cette semaine, la firme de transport a renvoyé son chef de la sécurité et l'un de ses adjoints pour leur rôle pour cacher cette violation, qui comprenait un paiement de 100 000 $ aux assaillants.
C’est ce qu’a révélé Dara Khosrowshahi, PDG de l’entreprise de VTC :
« En tant que PDG d'Uber, mon travail consiste à définir notre orientation pour l'avenir, qui commence par la création d'une entreprise dont chaque employé, partenaire et client Uber peut être fier. Pour que cela se produise, nous devons être honnêtes et transparents alors que nous travaillons à réparer nos erreurs passées.
« J'ai appris récemment qu'à la fin de l'année 2016, nous avons eu connaissance du fait que deux personnes extérieures à l'entreprise avaient accédé de manière inappropriée aux données d'utilisateurs stockées sur un service de cloud tiers que nous utilisons. L'incident ne concerne pas une violation de nos systèmes ou de notre infrastructure d'entreprise.
« Nos experts n'ont pas vu d'indication que l'historique du lieu de voyage, les numéros de carte de crédit, les numéros de compte bancaire, les numéros de sécurité sociale ou les dates de naissance ont été téléchargés. Cependant, les personnes ont pu télécharger des fichiers contenant une quantité importante d'autres informations, notamment :
les noms et numéros de permis de conduire d'environ 600 000 conducteurs aux États-Unis ;
certaines informations personnelles de 57 millions d'utilisateurs Uber à travers le monde, y compris les conducteurs décrits ci-dessus. Ces informations comprennent les noms, les adresses électroniques et les numéros de téléphone mobile. »
Le PDG a assuré qu’au moment de l'incident, Uber a pris des mesures immédiates pour sécuriser les données et mettre fin à l'accès non autorisé par les individus. Elle a ensuite identifié les individus et obtenu l'assurance que les données téléchargées avaient été détruites. Puis elle a mis en place des mesures de sécurité pour restreindre l'accès aux contrôles sur ses comptes de stockage basés sur le cloud et les renforcer.
Les auteurs ont donc été rapidement identifiés, mais Uber a choisi d’étouffer l’affaire en payant une rançon de 100 000 dollars pour obtenir le silence des auteurs. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs. Uber a déclaré qu'il croit que l'information n'a jamais été utilisée, mais a refusé de divulguer l'identité des agresseurs.
« Bien que je ne puisse pas effacer le passé, je peux m'engager au nom de tous les employés d'Uber que nous allons apprendre de nos erreurs. Nous changeons notre façon de faire des affaires, plaçant l'intégrité au cœur de chaque décision que nous prenons et travaillant dur pour gagner la confiance de nos clients », a déclaré le PDG de l’entreprise.
Après la révélation d'Uber mardi, le procureur général de New York Eric Schneiderman a lancé une enquête sur le piratage, a déclaré sa porte-parole, Amy Spitalnick. La société a également été poursuivie pour négligence à l'égard de la violation par un client à la recherche d'un statut de recours collectif.
Suite à cette information, Christophe Badot, Directeur France de Varonis, a déclaré : « On constate une fois encore que les pénalités dérisoires n'incitent pas suffisamment les entreprises à protéger leurs données. Lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l'UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données. Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction (4 % de son chiffre d'affaires de 6,5 milliards de dollars en 2016). Lors du précédent piratage survenu en 2014, Uber avait été condamné à une amende de 20 000 $ seulement par l'État de New York, loin d’être dissuasif pour une entreprise qui gagne des milliards de dollars. »
De son côté, Jérôme Segura, Lead Malware Intelligence Analyst chez Malwarebytes, a affirmé que « Ce que nous savons jusqu'à présent, c'est que les pirates ont réussi à accéder à des comptes GitHub privés contenant les identifiants et les mots de passe de certains développeurs d’Uber. Grâce à ces informations, ils ont pu se connecter aux serveurs d’Amazon (utilisés par Uber), y télécharger des millions d'enregistrements. Ils ont ensuite pu se retourner vers Uber pour les faire chanter.
« Ce qui est troublant est que ce piratage se soit produit il y a déjà un an et ne soit annoncé qu’aujourd’hui. Cela viole très probablement de nombreuses lois sur la notification des violations de données. Les motivations ayant décidé Uber à payer les pirates ne sont pas encore claires. S’agissait-il de couvrir la brèche, de protéger leurs utilisateurs, les deux ? La quantité et le type de données dont on parle ici pourraient atteindre un prix très élevé au marché noir.
« Cette attitude soulève également la question de la confiance d’Uber en ce qui concerne le paiement de la rançon et l'obtention de garanties quant à la suppression des données volées. Quoi qu'il en soit, techniquement il ne s'agit pas d'une nouvelle brèche, mais d’une situation plus complexe pour laquelle le gouvernement et les institutions juridiques vont exiger des réponses. »
Source : Uber
Citation:
Mise à jour du 23/11/2017 : Une campagne de phishing s'appuie sur la mauvaise communication d'Uber
Des cyber escrocs ont eu l’idée de profiter de l’occasion pour lancer une campagne de phishing. Pour cela, ils ont rédigé un courriel d’excuse à l’attention des clients et chauffeurs Uber. C'est le chercheur en sécurité Dale Meredith qui en a parlé dans un Tweet et qui suggère de prévenir des personnes qui pourraient se faire avoir.
« Nos plus sincères excuses, vous avez peut-être entendu parler du fait qu’Uber a été compromis l'année dernière. Nous sommes désolés de vous informer que vos informations ont, malheureusement, été confirmées comme faisant partie de celles qui ont été dérobées. Veuillez cliquer ci-dessous pour confirmer que vous avez reçu ce message et modifier votre mot de passe. »
Le courriel de phishing donne même des conseils de sécurité, vraisemblablement dans une tentative de paraître authentique : « Par mesure de sécurité, vous voudrez changer vos mots de passe sur tous les autres comptes en ligne que vous utilisez, pour éviter d'autres dommages. »
Source :
Twitter Dale Meredith
Piratage d'Uber : la France demande des éclaircissements
Piratage d'Uber : la France demande des éclaircissements,
et rappelle à l'entreprise les sanctions qu'elle encourt dès l'application du RGPD
Uber a déclaré que 57 millions de ses comptes ont été touchés par un piratage dont elle a été la victime en 2016. Cependant, après avoir caché cet épisode pendant un an, l’entreprise n’a toujours pas donné de détails en fonction des pays touchés.
Une situation qui n’a pas été du goût de la France. Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage.
« Face au danger que représente l’exploitation de ces données, je souhaite vous exprimer mon inquiétude quant à l'éventuelle présence en très grand nombre de clients et chauffeurs français dans cette liste.
« À ce jour et à notre connaissance, vous n’avez pas signalé cet incident auprès des autorités françaises et notamment auprès de la Commission nationale informatique et liberté ou de l’Agence nationale de sécurité des systèmes d’informations, ni auprès des utilisateurs concernés. Au regard du nombre de vos clients, vous avez une importance qui vous donne une responsabilité. L’entrée en vigueur du règlement général pour la protection des données est prévue pour mai 2018 et il établira des obligations de notification pour de pareils cas. Au regard du danger existant, nous souhaiterions que vous informiez volontairement les utilisateurs concernés ainsi que les autorités françaises.
« Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quels types sont les données qui ont été dérobées, quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ?
« Le signalement aux autorités et aux utilisateurs est le seul moyen de protéger les victimes et de limiter les conséquences de ces fuites. »
Selon Uber, les noms, adresses électroniques et numéros de téléphone des victimes ont été subtilisés. Le groupe américain de réservation de voitures avec chauffeur affirme qu'aucune information bancaire n'a été exfiltrée, pas plus que les dates de naissance et les historiques de trajets.
Ce qui n’arrange pas la situation c’est qu’Uber a d’abord informé une banque japonaise, Softbank, trois semaines avant de dévoiler le piratage à ses utilisateurs et aux autorités compétentes. Softbank est actuellement en discussion avec Uber pour investir dans l’entreprise. « Nous avons informé Softbank que nous enquêtions sur une fuite de données, en conformité avec notre devoir d’information envers un investisseur potentiel, même si l’information dont nous disposions à l’époque était préliminaire et incomplète », s’est justifié Uber dans un communiqué. « Nous avons également précisé qu’une enquête était en cours. Une fois que nous l’avons achevée, nous avons eu une compréhension plus complète des faits et nous avons alors informé les régulateurs et nos clients. »
La France n’est pas la seule à s’inquiéter et à demander des comptes à l’entreprise de transport. En effet, dans plusieurs pays, les autorités de protection des données personnelles ont annoncé l’ouverture d’enquêtes sur ce piratage et la façon dont Uber l’a gérée, comme au Royaume-Uni, en Australie ou encore aux Philippines. En Europe, le G29, qui rassemble les gendarmes européens de la vie privée et qui est actuellement présidé par la présidente de la CNIL française Isabelle Falque-Pierrotin, a prévu de se réunir cette semaine à ce sujet, afin d’envisager une coordination des enquêtes. Manque de transparence, obligations d’information et de sécurité non respectées, etc. Les régulateurs ont de quoi sanctionner.
Aux États unis, les procureurs de six États ont également commencé à se pencher sur la question, aux côtés de la Federal Trade Commission, l’autorité américaine chargée de la protection des consommateurs. Aux États-Unis comme dans un certain nombre d’autres pays, la loi impose aux entreprises victimes d’une fuite de données d’en informer les victimes potentielles.
Parallèlement, deux recours collectifs ont été lancés contre Uber aux États-Unis, lui reprochant de ne pas avoir révélé plus tôt le piratage, arguant que cela porte préjudice à ses clients.
Source : Le Monde, Reuters
Uber : les autorités européennes de protection des données annoncent avoir formé un groupe de travail
Uber : les autorités européennes de protection des données annoncent avoir formé un groupe de travail,
pour se pencher sur le cas de la société de VTC
Uber a déclaré que 57 millions de ses comptes ont été touchés par un piratage dont elle a été la victime en 2016. Cependant, après avoir caché cet épisode pendant un an, l’entreprise n’a toujours pas donné de détails en fonction des pays touchés. Une situation qui n’a pas été du goût de la France. Mounir Mahjoubi, le secrétaire d’État chargé du Numérique, a écrit à Dara Khosrowshahi, le patron d’Uber, pour demander des explications sur ce piratage.
Mais, dans une plus grande mesure, le G29, qui rassemble les gendarmes européens de la vie privée et qui est actuellement présidé par la présidente de la CNIL française Isabelle Falque-Pierrotin, s’est réuni mercredi dernier à ce sujet, afin d’envisager une coordination des enquêtes. Manque de transparence, obligations d’information et de sécurité non respectées, etc. Les régulateurs ont de quoi sanctionner.
Ce jour-là, un groupe de travail a été créé pour se pencher sur le cas Uber : « Ce groupe de travail, dirigé par l'autorité néerlandaise de protection des données, sera composé à ce stade de représentants des autorités française, italienne, espagnole, belge et allemande et coordonnera les enquêtes nationales sur cette question importante », peut-on lire sur la page dédiée.
Bien entendu, le groupe de travail a reçu l’aval de la Commission. Lors d’une conférence de presse, la commissaire à la Justice Vera Jourova a fustigé l’irresponsabilité d’Uber. « Uber a attendu plus d'un an avant d'informer le public et ses consommateurs de cette faille » accuse-t-elle, avant de souligner que le RGPD permettra de mieux répondre à ce type de «comportement. »
Pour Giovanni Buttarelli, contrôleur européen de la protection des données, les législateurs de l'UE gagneraient à créer une nouvelle autorité centralisée pour la protection des données afin de superviser les enquêtes sur les atteintes à la vie privée qui affectent plus d'un État membre :
« Je pense qu'avec Uber, nous avons démontré immédiatement en tant qu'autorités de protection des données dans quelle mesure nous considérons qu'il est essentiel de coopérer. Nous avons établi un groupe de travail et nous synchronisons toutes nos actions. Donc, les enquêtes d'un point de vue formaliste vont être effectuées à l'échelle nationale, mais la substance de tout va maintenant être synchronisée. La même chose s'est produite avec la politique de confidentialité de Google et sur d'autres questions. Ici sur Uber, cela semble plus facile, car nous n'avons à ce stade que des questions de protection des données, de sécurité et de cybersécurité avec d'autres éléments – peut-être aussi du point de vue pénal, chantage et autre chose, qui devront être vérifiés. »
Source : Europa, entretien avec Giovanni Buttarelli