Condamnation d’UBER pour atteinte à la sécurité des données des utilisateurs

Le 19 décembre 2018, la formation restreinte de la CNIL (Commission nationale de l’informatique et des libertés) a prononcé une sanction pécuniaire de 400 000 euros à l’encontre d’UBER pour manquement à son obligation d’assurer la sécurité et la confidentialité des données personnelles.

La délibération de la CNIL n’a pas été prise en application du RGPD, car les faits sont antérieurs au 25 mai 2018.

L’attaque de l’espace de travail privé d’UBER sur GitHub

En octobre 2016, deux personnes extérieures à la société UBER ont accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde.

En effet, les deux individus ont obtenu l’accès à un espace de travail privé d’UBER sur GitHub à savoir une plateforme tierce de développement de logiciel sur internet qui était utilisée par les ingénieurs de UBER au moment de l’attaque pour stocker du code pour la collaboration et le développement.

Un an plus tard, le 21 novembre 2017, UBER a rendu cette information publique et la presse a révélé, dans le même temps, que la société avait versé aux attaquants la somme de 100 000 dollars américains afin que ceux-ci détruisent les données en question et qu’ils ne révèlent pas l’existence de cet incident.

Par la suite, la société UBER B.V a adressé un courrier au G29 (Groupe des CNIL européennes) pour informer des circonstances de la violation et de sa volonté de coopérer avec toutes les autorités compétentes.

C’est dans ce contexte que la CNIL a prononcé, le 19 décembre 2018, une sanction pécuniaire de 400 000 euros à l’encontre de la société UBER pour avoir insuffisamment sécurisé les données des utilisateurs de son service.

Ainsi, la CNIL a relevé plusieurs manquements d’UBER à son obligation d’assurer la sécurité et la confidentialité des données :

Manquement à la sécurisation de l’accès à la plateforme GitHub

La formation restreinte de la CNIL considère que la société aurait dû prévoir que ses ingénieurs se connectent à la plateforme grâce à une mesure d’authentification forte (par exemple un identifiant et mot de passe puis un code secret envoyé sur un téléphone) et non pas grâce à leurs identifiants personnels.De plus, elle estime que l’absence de processus de retraits des habilitations lorsqu’un ingénieur quitte la société constitue une négligence importante dans la mesure où la société ne peut garantir que des personnes ayant quitté la société ne continuent pas d’accéder aux projets développés sur GitHub.

Présence d’identifiants permettant d’accéder aux serveurs stockés dans le code source de la plateforme

Par la suite, la formation restreinte de la CNIL considère que les identifiants permettant d’accéder aux serveurs n’auraient pas dus être stockés dans le code source de la plateforme puisque de tels identifiants donnant accès à des données personnelles doivent être stockés dans un fichier protégé.

L’absence de mise en place d’une mesure de filtrage des adresses IP autorisées à accéder aux serveurs

Enfin, la CNIL considère que lorsque des collaborateurs se connectent à distance aux serveurs utilisés par UBER, la sécurisation doit reposer a minima sur la mise en place d’une mesure de filtrage des adresses IP afin que seules soient exécutées des requêtes provenant d’adresses IP identifiées et ce dans le but d’éviter toute connexion illicite.

Partant, la CNIL conclut que la société a fait preuve de négligence en ne prévoyant pas les mesures élémentaires de sécurité ce qui a permis le succès de l’attaque.

Sanction et publicité de la décision

La CNIL a décidé d’infliger une sanction pécuniaire de 400 000 euros à UBER car, les faits étant antérieurs à l’entrée en vigueur du RGPD, la CNIL ne pouvait aller au-delà du plafond fixé par la loi informatique et libertés.

Enfin, en raison du nombre élevé de personnes concernées par la fuite de données et dans le but de sensibiliser les opérateurs, la CNIL a décidé de rendre sa décision publique.

Dès lors, cette délibération mérite une attention particulière dans la mesure où désormais, les sanctions applicables prévues par le RGPD sont nettement plus importantes.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».