Retour

Condamnation d’UBER pour atteinte à la sécurité des données des utilisateurs

    • Share :
15/03/2019 - Elise DUFOUR

Le 19 décembre 2018, la formation restreinte de la CNIL (Commission nationale de l’informatique et des libertés) a prononcé une sanction pécuniaire de 400 000 euros à l’encontre d’UBER pour manquement à son obligation d’assurer la sécurité et la confidentialité des données personnelles.

La délibération de la CNIL n’a pas été prise en application du RGPD, car les faits sont antérieurs au 25 mai 2018.

L’attaque de l’espace de travail privé d’UBER sur GitHub

En octobre 2016, deux personnes extérieures à la société UBER ont accédé aux données de 57 millions d’utilisateurs des services UBER à travers le monde.

En effet, les deux individus ont obtenu l’accès à un espace de travail privé d’UBER sur GitHub à savoir une  plateforme tierce de développement de logiciel sur internet qui était utilisée par les ingénieurs de UBER au moment de l’attaque pour stocker du code pour la collaboration et le développement.

Un an plus tard, le 21 novembre 2017, UBER a rendu cette information publique et la presse a révélé, dans le même temps, que la société avait versé aux attaquants la somme de 100 000 dollars américains afin que ceux-ci détruisent les données en question et qu’ils ne révèlent pas l’existence de cet incident.

Par la suite, la société UBER B.V a adressé un courrier au G29 (Groupe des CNIL européennes) pour informer des circonstances de la violation et de sa volonté de coopérer avec toutes les autorités compétentes.

C’est dans ce contexte que la CNIL a prononcé, le 19 décembre 2018, une sanction pécuniaire de 400 000 euros à l’encontre de la société UBER pour avoir insuffisamment sécurisé les données des utilisateurs de son service.

Ainsi, la CNIL a relevé plusieurs manquements d’UBER à son obligation d’assurer la sécurité et la confidentialité des données :

Manquement à la sécurisation de l’accès à la plateforme GitHub

La formation restreinte de la CNIL considère que la société aurait dû prévoir que ses ingénieurs se connectent à la plateforme grâce à une mesure d’authentification forte (par exemple un identifiant et mot de passe puis un code secret envoyé sur un téléphone) et non pas grâce à leurs identifiants personnels.De plus, elle estime que l’absence de processus de retraits des habilitations lorsqu’un ingénieur quitte la société constitue une négligence importante dans la mesure où la société ne peut garantir que des personnes ayant quitté la société ne continuent pas d’accéder aux projets développés sur GitHub.

Présence d’identifiants permettant d’accéder aux serveurs stockés dans le code source de la plateforme

Par la suite, la formation restreinte de la CNIL considère que les identifiants permettant d’accéder aux serveurs n’auraient pas dus être stockés dans le code source de la plateforme puisque de tels identifiants donnant accès à des données personnelles doivent être stockés dans un fichier protégé.

L’absence de mise en place d’une mesure de filtrage des adresses IP autorisées à accéder aux serveurs

Enfin, la CNIL considère que lorsque des collaborateurs se connectent à distance aux serveurs utilisés par UBER, la sécurisation doit reposer a minima sur la mise en place d’une mesure de filtrage des adresses IP afin que seules soient exécutées des requêtes provenant d’adresses IP identifiées et ce dans le but d’éviter toute connexion illicite.

Partant, la CNIL conclut que la société a fait preuve de négligence en ne prévoyant pas les mesures élémentaires de sécurité ce qui a permis le succès de l’attaque.

Sanction et publicité de la décision

La CNIL a décidé d’infliger une sanction pécuniaire de 400 000 euros à UBER car, les faits étant antérieurs à l’entrée en vigueur du RGPD, la CNIL ne pouvait aller au-delà du plafond fixé par la loi informatique et libertés.

Enfin, en raison du nombre élevé de personnes concernées par la fuite de données et dans le but de sensibiliser les opérateurs, la CNIL a décidé de rendre sa décision publique.

Dès lors, cette délibération mérite une attention particulière dans la mesure où désormais, les sanctions applicables prévues par le RGPD sont nettement plus importantes.