La série noire continue pour Uber en Europe. La CNIL vient d’infliger une amende de 400 000 euros à Uber France SAS pour manquement à la sécurité des données de ses utilisateurs. Cette décision fait suite à celles de ses homologues néerlandaise et britannique qui ont prononcé en novembre dernier des amendes de respectivement 600 000 euros et 385 000 livres pour le même motif.
En novembre 2017, Uber avouait que les données de 57 millions de ses clients avaient été piratées un an auparavant. Suite à cette révélation, le G29, groupe des CNIL européennes, avait créé un groupe de travail pour coordonner leurs procédures d’investigation, comme l’explique un communiqué de la CNIL française.
Les manquements des développeurs d’Uber
Les développeurs d’Uber avaient stocké en clair sur la plateforme collaborative GitHub des identifiants permettant d’accéder à un serveur sur lequel se trouvaient les données en questions. Parmi les informations téléchargées de 57 millions de clients, se trouvaient celles de 1,4 million d’entre eux situés sur le territoire français.
Selon la CNIL, Uber aurait pu éviter cela grâce à trois mesures simples :
– La société aurait dû prévoir que ses ingénieurs se connectent à GitHub grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ;
– Elle n’aurait pas dû stocker en clair au sein du code source de Github des identifiants permettant d’accéder au serveur ;
– Pour l’accès aux serveurs d’Amazon Web Services contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.
La CNIL a donc estimé que ces conditions constituaient un manquement à l’obligation de sécurité des données personnelles des clients d’Uber. L’amende de 400 000 euros correspond à la réglementation pré-RGPD puisque les faits remontent à novembre 2017, avant l’application du règlement européen en place depuis le 25 mai 2018.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.