Avec 57 millions de comptes touchés par le piratage dont a été victime Uber en 2016, il est fort probable que des citoyens Français se retrouvent dans le lot. Mais si Uber a communiqué sur l’existence de ce piratage, après l’avoir caché pendant un an, la société se refuse pour l’instant à donner le détail en fonction des pays touchés. Uber explique avoir contacté l’ensemble des régulateurs des pays concernés et attendre leurs retours pour communiquer sur les différents Etats touchés.
Mais le gouvernement français s’impatiente : le secrétaire d’État chargé du numérique Mounir Mahjoubi a ainsi publié une lettre ouverte à destination d’Uber appelant la société à faire la lumière sur le nombre de citoyens français concernés, ainsi que les mesures mises en œuvre pour corriger les failles.
« À ce jour et à notre connaissance, vous n’avez pas signalé cet incident auprès des autorités françaises et notamment auprès de la Commission nationale informatique et Liberté, ou de l’Agence nationale de sécurité de l’Information, ni auprès des utilisateurs concernés » explique le secrétaire d’État. « Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien, et de quels types sont les données qui ont été dérobées, quelles mesures techniques et organisationnelles sont mises en place pour informer et accompagner les utilisateurs ? » poursuit la lettre.
Uber ne perd pas le nord
Le secrétaire d’État ne demande pas l’impossible, mais plutôt le minimum au vu des circonstances. Uber a commencé à communiquer timidement sur ce piratage, qui a eu lieu en fin d’année 2016 et que la précédente direction a préféré dissimuler au public et aux utilisateurs du service. Au total, 57 millions d’internautes et de conducteurs seraient affectés selon la société. Mais si Uber a reconnu la fuite de données, la société reste extrêmement discrète sur les détails et explique vouloir d’abord contacter les autorités nationales concernées.
En Europe, le G29, groupe de travail qui réunit les équivalents européens de la CNIL, a indiqué qu’il comptait aborder le sujet à l’occasion de sa prochaine réunion. Comme le rapporte NextInpact, plusieurs autorités nationales européennes ont déjà lancé des enquêtes, mais la CNIL française ne s’est pas encore emparée du sujet. Le rôle du G29 sera de coordonner les efforts des différents acteurs.
Mais si Uber a tardé à prévenir clients et autorités nationales de protection des données, l’éditeur a expliqué à Reuters avoir néanmoins prévenu Softbank de l’intrusion. Softbank est en effet un investisseur potentiel au capital d’Uber et la société de VTC était donc tenue de révéler ce type d’incident de sécurité à un investisseur potentiel. Dans le cas du rachat de Yahoo par Verizon, la révélation du piratage de Yahoo avait conduit Verizon à revoir son investissement à la baisse. Softbank se refuse de son côté à tout commentaire sur l’affaire. En termes de gestion de crise, Uber n’est donc pas au bout de ses peines.
