Uber a été victime d’un piratage en 2016. Les données de 57 millions d’utilisateurs avaient alors été dérobées. / Kirsty Wigglesworth / AP

La Commission nationale de l’informatique et des libertés a annoncé jeudi 20 décembre une sanction de 400 000 euros à l’égard d’Uber. Le gendarme français des données personnelles estime que l’entreprise de VTC a « insuffisamment sécurisé les données » de ses utilisateurs, ce qui a permis à des pirates de dérober des informations relatives à 57 millions d’entre eux en octobre 2016.

Il avait alors fallu plus d’un an à Uber pour rendre public ce piratage, qui concernait les noms, adresses e-mails et numéros de téléphone de ses utilisateurs. Environ 1,4 million d’entre eux étaient « situés sur le territoire français », précise la commission. Le G29, qui réunit les CNIL européennes, avait alors lancé une enquête.

« Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plate-forme collaborative de développement “GitHub”, explique la CNIL. Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. » La Commission estime que « cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place ».

Uber déjà sanctionné

Uber aurait ainsi pu imposer à ses ingénieurs de se connecter à GitHub « grâce à une mesure d’authentification forte » comme la double authentification – un système couramment utilisé demandant un mot de passe, mais aussi un code secret envoyé sur un téléphone par exemple.

De plus, l’entreprise n’aurait pas dû, explique la CNIL, stocker en clair sur GitHub les identifiants permettant d’accéder au serveur. Enfin, elle estime que les serveurs contenant les données des utilisateurs auraient dû être protégés par « un système de filtrage des adresses IP ». Une adresse IP est l’identifiant unique d’un appareil qui se connecte à Internet. Il est possible de n’en autoriser que certaines à accéder à un serveur.

La CNIL souligne que les faits ont eu lieu avant la mise en œuvre en mai du RGPD, qui ne s’applique donc pas dans ce cas. Ce nouveau règlement européen sur les données personnelles rend possible des sanctions plus lourdes, pouvant aller jusqu’à 4 % du chiffre d’affaires d’une entreprise.

« Nous sommes heureux de clore ce chapitre sur l’incident de données de 2016 », a déclaré Uber dans un e-mail transmis au Monde. L’entreprise dit avoir depuis « apporté plusieurs améliorations techniques à la sécurité de [ses] systèmes » et « d’importants changements dans [son] management afin d’assurer la transparence aux autorités régulatrices et aux clients ». « Nous tirons les leçons de nos erreurs et poursuivons notre engagement à gagner chaque jour la confiance de nos utilisateurs », ajoute encore la société.

Ce n’est pas la première fois qu’Uber est condamné dans le cadre de ce piratage. En novembre, la CNIL néerlandaise lui avait infligé 600 000 euros d’amende pour ne pas avoir signalé assez vite la violation de données. Son équivalent britannique avait de son côté sanctionné Uber à hauteur de 385 000 livres (426 000 euros) pour des faits similaires à ceux reprochés par la CNIL.