Accueil Confidentialité des données Uber sanctionné de 400 000 € pour atteinte à la sécurité des...

Uber sanctionné de 400 000 € pour atteinte à la sécurité des données des utilisateurs

Uber - Voiture autonome
Uber - Voiture autonome
La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société de VTC pour avoir insuffisamment sécurisé les données des utilisateurs de son service.

A la suite de la révélation par Uber en novembre 2017 du vol de données personnelles de 57 millions d’utilisateurs, le groupe des CNIL européenne, alias le G29, a enquêté. Il a pu établir que les attaquants ont dans un premier temps accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel étaient stockées les données. Ils ont ou alors téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.

3 erreurs techniques majeures

Le G29 a alors pu émettre plusieurs reproches à Uber. D’abord l’absence « de mesure d’authentification forte » (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) pour accéder à la plateforme collaborative de développement « Github ». Ensuite le stockage « en clair au sein du code source de la plateforme « Github » des identifiants » permettant d’accéder au serveur. Enfin, l’absence « de système de filtrage des adresses IP » pour l’accès aux serveurs Amazon Web Services S3 contenant les données des utilisateurs.
La Cnil en a conclu qu’Uber « avait manqué à son obligation de sécurité des données personnelles« , et infligé une amende de 400 000 euros.  « Compte tenu de la date des faits, le RGPD n’était pas encore applicable« , précise l’autorité.

Les amendes s’accumulent

D’autres autorités européennes ont également pris des sanctions en lien avec ces faits. Le 6 novembre 2018, l’autorité néerlandaise de protection des données a prononcé une amende de 600 000 euros à l’encontre d’Uber pour manquement à l’obligation de notification de la violation de données. Le 26 novembre dernier, l’autorité britannique a prononcé une sanction de 385 000 £ pour manquement à l’obligation de sécuriser les données. Lire notre article : Uber écope d’1 million d’euros d’amende pour avoir passé sous silence un piratage de…

Aux Etats-Unis, Uber a passé un accord à l’amiable en septembre dernier et payé 148 millions de dollars.