A la suite du piratage d’Uber, révélé un an après l’incident, l’expert en cybersécurité Hervé Schauer n’y va pas avec le dos de la cuillère. Voici ce qu’il a expliqué à la rédaction.
Un problème d’éthique
« La fuite de données d’Uber possèdent les pires caractéristiques qu’il est possible d’imaginer. On note d’abord l’absence d’information des 57 millions de clients, et l’incident caché pendant un an et demi ! Ensuite, la minimisation de l’incident en expliquant à ceux qui veulent le croire que les cartes bancaires des clients n’ont pas été touchées. Enfin, on note la fuite des 600 000 permis de conduire de chauffeurs, document qui sert de pièce d’identité aux USA. Quel irrespect invraisemblable pour les clients et les chauffeurs en leur ayant caché la fuite de données ! Pire que tout, Uber a payé, selon Bloomberg, 100 000 $ aux criminels pour acheter leur silence !
Une cybersécurité qui n’est pas à la hauteur
« Du coté sécurité, Uber a dépensé 1,2 M$ en bug bounty, ces tests d’intrusions rémunérés au résultat, sur le site hackerone, et ce à priori avant la fuite. Que ce soit un échec du bug bounty ou plus vraisemblablement une exclusion d’Uber de ses accès privilégiés au Cloud des bug bounty, c’est la démonstration d’une absence de gestion de la cybersécurité à la hauteur des enjeux, et aussi que les mauvaises pratiques sont toujours les mêmes ! Comment est-il possible que ces bugs bounty n’aient jamais relevé les failles ayant permis l’attaque et le vol des données ? Une hypothèse serait qu’une partie de l’infrastructure qui aurait dû être testée a été exclue des tests. Malheureusement nous manquons d’informations sur la fuite. »
« Le piratage est arrivé dans le contexte d’un PDG viré, de scandales à répétition, de pertes record de plusieurs milliards, d’échecs comme en Chine contre VTC Didi Chuxing et d’éviction de grandes capitales comme celle de Londres. Est-ce une raison de l’avoir caché ? »
Faire cesser l’impunité juridique
« Cet exemple nous rappelle qu’il nous faut une réelle application des lois. Il faut une reprise en main des Etats et des justices pour que cesse l’immunité juridique perpétuelle pour les dirigeants et responsables. »
