UBER : sanction de 400.000€ pour une atteinte à la sécurité des données des utilisateurs

20 December 2018

La formation restreinte de la CNIL a prononcé une sanction de 400.000 euros à l’encontre de la société UBER pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC.

En novembre 2017, la société UBER a révélé dans la presse qu’un an auparavant, deux individus avaient dérobé les données personnelles de 57 millions d’utilisateurs de ses services.

A la suite de cette révélation, le G29 (Groupe des CNIL européennes) a créé un groupe de travail dans le but de coordonner les procédures d’investigation de différentes autorités de protection des données.

L’enquête a mis en lumière les différentes étapes de l’attaque. Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 millions situés sur le territoire français.

La formation restreinte de la CNIL a estimé que cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place. Elle a notamment souligné que :

  • la société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement « Github » grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ;
  • elle n’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur ;
  • pour l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.

Dans ces conditions, la formation restreinte a estimé que la société avait manqué à son obligation de sécurité des données personnelles. Elle a condamné la société Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, à une amende de 400 000 euros. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.

Au regard du nombre très important de personnes concernées et de la nécessité de sensibiliser les opérateurs, la formation restreinte a par ailleurs décidé de rendre publique cette décision.

D’autres autorités européennes ont également pris des sanctions en lien avec ces faits. Le 6 novembre 2018, l’autorité néerlandaise de protection des données a prononcé une amende de 600 000 euros à l’encontre d’UBER pour manquement à l’obligation de notification de la violation de données. Le 26 novembre dernier, l’autorité britannique a prononcé une sanction de 385 000 £ pour manquement à l’obligation de sécuriser les données.

Keywords associated to this article