Uber condamné à verser 400000 € pour atteinte à la sécurité de ses données utilisateurs

Publié par Stéphanie Marius le | Mis à jour le
Uber condamné à verser 400000 € pour atteinte à la sécurité de ses données utilisateurs
© © Creativeapril - Fotolia.com

Le Groupe des Cnil européennes inflige une sanction de 400000 euros à Uber pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC.

Je m'abonne
  • Imprimer

Uber est sanctionné par la formation restreinte de la Cnil pour des faits déjà condamnés par les autorités néerlandaise et britannique. En novembre 2017, Uber a révélé qu'un an auparavant, les données personnelles de 57 millions d'utilisateurs de ses services avaient été dérobées. À la suite decette révélation, le G29 (groupe des Cnil européennes) a créé un groupe de travail dans le but de coordonner les procédures d'investigation de différentes autorités de protection des données. L'enquête a mis en lumière les différentes étapes de l'attaque. Les attaquants ont tout d'abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement Github. Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé des informations relatives à 57 millions d'utilisateurs, dont 1,4 million situés sur le territoire français.

Uber a manqué à son obligation de sécurisation des données

La formation restreinte de la Cnil a estimé cette attaque n'aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place. Elle a notamment souligné qu'Uber aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement Github grâce à une mesure d'authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone). En parallèle, l'entreprise n'aurait pas dû stocker en clair au sein du code source de la plateforme Github des identifiants permettant d'accéder au serveur. Enfin,pour l'accès aux serveurs Amazon Web Services S3 contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.

Ainsi, la formation restreinte a estimé que la société avait manqué à son obligation de sécurité des données personnelles. Elle a condamné la société Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, à une amende de 400000 €. Compte tenu de la date des faits, le RGPD n'était pas encore applicable.


Je m'abonne
no pic

Stéphanie Marius

Chef de rubrique

Ancien professeur de lettres modernes, secrétaire de rédaction durant quatre ans et aujourd’hui chef de rubrique pour les sites Ecommercemag.fr et [...]...

Voir la fiche
Martine Fuxa,<br/>rédactrice en chef Martine Fuxa,
rédactrice en chef

La Lettre de la Rédac

Recevez l'essentiel de l'actu

E-commerce

Small Business

Event

La rédaction vous recommande

Sur le même sujet

Je m'inscris !