Uber a mis plus d’un an à dévoiler le piratage. / ANTHONY WALLACE / AFP

« Rien de tout cela n’aurait dû se produire, et je ne vais pas chercher des excuses. » Mardi 21 novembre, le PDG d’Uber, Dara Khosrowshahi, a révélé que les données de 57 millions d’utilisateurs dans le monde entier avaient été piratées en 2016. Explications.

• Quelles données ont été dérobées ?

Ce sont les noms, adresses e-mails et numéros de téléphone de 57 millions d’utilisateurs d’Uber qui ont été dérobées par les pirates. Parmi eux, 600 000 chauffeurs américains, dont les numéros de permis de conduire figurent aussi dans les données volées.

En revanche, Dara Khosrowshahi assure n’avoir « aucune indication » que l’historique des trajets, les informations bancaires, les dates de naissance et les numéros de Sécurité sociale des utilisateurs et chauffeurs auraient pu être dérobés.

• Les données de Français sont-elles concernées ?

C’est probable mais, pour le moment, Uber ne donne aucune précision sur les nationalités des utilisateurs touchés. « Nous sommes en train de prévenir les différentes autorités concernées et nous devrions discuter avec elles. Nous ne pourrons pas donner plus de détails tant que ce processus ne sera pas achevé », a répondu l’entreprise dans un e-mail au Monde. L’an dernier, Uber revendiquait 1,5 million d’utilisateurs en France.

• Qu’est-il advenu de ces données ?

Depuis octobre 2016, date à laquelle le piratage a eu lieu, ces données ont-elles été exploitées, vendues, publiées en ligne… ? Dara Khosrowshahi explique que rien ne laisse à penser que ces données aient pu être exploitées de façon malveillante. Surtout, le PDG explique avoir « identifié les individus » responsables du piratage et avoir « obtenu l’assurance que les données piratées avaient été détruites ».

Une formulation vague, qui trouve son explication dans les informations de la chaîne Bloomberg, la première à avoir dévoilé l’affaire. Le média américain assure qu’Uber a payé une rançon de 100 000 dollars (85 000 euros) aux pirates en échange de la suppression de ces données et de leur silence.

Uber estime que les utilisateurs n’ont pas à prendre de mesures spécifiques relatives à ce piratage, mais les encourage tout de même à « vérifier régulièrement leurs comptes bancaires et Uber », pour s’assurer qu’il n’y a pas d’activité anormale. Les chauffeurs américains concernés seront quant à eux prévenus individuellement.

• Comment Uber a-t-elle été piratée ?

Selon les informations de Bloomberg, les deux pirates auraient accédé à des fichiers utilisés par les ingénieurs d’Uber et stockés sur GitHub – une importante plate-forme en ligne utilisée par les développeurs du monde entier pour partager leur travail. Ils y ont obtenu des informations leur permettant d’atteindre des données hébergées par Uber sur des serveurs Amazon. « L’incident n’a pas atteint les systèmes de l’entreprise ni son infrastructure », précise donc Dara Khosrowshahi.

• Pourquoi Uber a-t-il attendu un an pour révéler le piratage ?

Les lois américaines imposent aux entreprises d’informer leurs utilisateurs et les autorités, en cas de fuite d’informations sensibles. Or, Uber a attendu plus d’un an avant de dévoiler ce piratage. Dara Khosrowshahi, nommé PDG à la fin d’août en remplacement de Travis Kalanick, évincé après une série de scandales, assure n’avoir été informé que « récemment » du piratage.

« Vous vous demandez sans doute pourquoi nous n’en parlons que maintenant, écrit-il dans un communiqué. Je me suis posé la même question, c’est pourquoi j’ai demandé une enquête immédiate sur ce qui s’était passé et sur la manière dont nous l’avons géré. »

Dans la foulée de ces révélations, Dara Khosrowshahi a annoncé, sans les nommer, le licenciement de deux cadres accusés d’avoir étouffé l’affaire.

• Quelles mesures ont été prises par Uber ?

Dara Khosrowshahi explique que des mesures immédiates ont été prises à la fin de 2016 pour « sécuriser les données et rendre impossible l’accès à ces fichiers ». L’entreprise a aussi « renforcé ses contrôles » sur l’accès aux serveurs hébergés par des tiers.

« Bien que je ne puisse pas effacer le passé, je peux promettre au nom de chaque employé d’Uber que nous apprendrons de nos erreurs. Nous allons changer notre manière de travailler, et placer l’intégrité au cœur de chaque décision que nous prenons, et nous travaillerons dur pour gagner la confiance de nos clients », a déclaré le PDG.

• Quelles sont les conséquences pour Uber ?

La réputation de l’entreprise, déjà fortement entachée par des affaires liées, pêle-mêle, au harcèlement sexuel, au vol de technologies, à des logiciels espions ou au conflit avec les taxis, n’en sortira pas grandie.

Au lendemain de ces révélations, deux enquêtes ont déjà été lancées sur le piratage, par le procureur de New York, et par l’autorité de protection des données britannique. L’annonce d’Uber « soulève de grandes inquiétudes concernant la façon dont elle protège ses données et sur son éthique », souligne dans un communiqué l’autorité britannique. « Cacher délibérément des failles de sécurité aux yeux des régulateurs et des citoyens pourrait nécessiter des amendes plus importantes pour les entreprises. »