PIRATAGE MASSIF CHEZ UBER OU LE SILENCE DES HACKERS ACHETE

Les données de 57 millions d’utilisateurs, clients ou chauffeurs, ont été piratées en 2016, a annoncé l’entreprise.

« Rien de tout cela n’aurait dû se produire, et je ne vais pas chercher des excuses.». Mardi 21 novembre, le PDG d’Uber, Dara Khosrowshahi, a révélé que les données de 57 millions d’utilisateurs dans le monde entier avaient été piratées en 2016.

Ce sont les noms, adresses e-mails et numéros de téléphone de 57 millions d’utilisateurs d’Uber qui ont été dérobés par les pirates. Parmi eux, 600 000 chauffeurs américains, dont les numéros de permis de conduire figurent aussi dans les données volées.

En revanche, Uber affirme qu'aucune information bancaire n'a été exfiltrée, pas plus que les dates de naissance, les historiques de trajets ou les numéros de sécurité sociale (importants aux États-Unis).

La direction dit n'avoir constaté "aucune preuve de fraude ou d'utilisation frauduleuse liée à cet incident", et "surveille les comptes affectés".

Pour le moment, on a aucune précision sur les nationalités des utilisateurs touchés .

Mais selon Uber ces données n'auraient été ni exploitées, ni vendues, ni publiées en ligne…d'autant que Dara Khosrowshahi explique avoir « identifié les individus » responsables du piratage et avoir « obtenu l’assurance que les données piratées avaient été détruites ».

Et à la chaîne Bloomberg, de dévoiler les dessous de l’affaire. Le média américain assure qu’Uber a payé une rançon de 100 000 dollars (85 000 euros) aux hackers en échange de la suppression de ces données et de leur silence !!!

Pour Uber les utilisateurs n'aurait pas à prendre de mesures spécifiques relatives à ce piratage. Cependant mieux vaut tout de même « vérifier régulièrement leurs comptes bancaires et Uber », pour s’assurer qu’il n’y a pas d’activité anormale. Les chauffeurs américains concernés seront quant à eux prévenus individuellement.

Selon les informations de Bloomberg, les deux pirates auraient eu accès à des fichiers utilisés par les ingénieurs d’Uber et stockés sur GitHub – une importante plate-forme en ligne utilisée par les développeurs du monde entier pour partager leur travail.

D'après les lois américaines les entreprises se trouvent dans l'obligation d’informer leurs utilisateurs et les autorités, en cas de fuite d’informations sensibles. Or, Uber a attendu plus d’un an avant de dévoiler ce piratage.

Le procureur de New York et l’autorité de protection des données britannique ont dans la foulée ouvert des enquêtes. L’annonce d’Uber « soulève de grandes inquiétudes concernant la façon dont elle protège ses données et sur son éthique », souligne dans un communiqué l’autorité britannique. « Cacher délibérément des failles de sécurité aux yeux des régulateurs et des citoyens pourrait nécessiter des amendes plus importantes pour les entreprises. »

Certains experts expliquent cependant que des pirates qui disposent des noms, e-mails et numéros de téléphone peuvent monter des campagnes de phishing (hameçonnage) en créant de faux mails d'Uber, lesquels inviteraient les victimes à "confirmer" leurs coordonnées . Nous sommes en fait plus ou moins condamnés à faire confiance aux applications. Il faut donc éviter de donner nos coordonnées à celles que nous n'utilisons pas et/ou qui n'inspirent pas confiance. A tout le moins utiliser une adresse électronique alternative pour ce genre de services, différente de l'adresse principale.

N'oublions pas que les cyberattaques sont une nouvelle forme de guerre économique!!

Les piratages massifs de données d’entreprises se multiplient aux États-Unis. Mais la plupart des entreprises concernées choisissent d’informer leurs utilisateurs pour qu’ils changent leurs mots de passe et avertir les autorités.

La cyberattaque la plus importante de l'histoire a touché en 2013 Yahoo! avec 3 milliards de comptes utilisateurs affectés. Révélé en décembre 2016, l'ampleur du piratage, d'abord estimé à 1 milliard de comptes, a été revu à la hausse le mois dernier. Mais il ne concernait ni les mots de passe ni les coordonnées bancaires, a assuré le groupe américain.

Que risque Uber ?

Des amendes, sans doute, d'autant qu'il y a manifestement dissimulation. Aux l'équipe de Donald Trump pourrait être plus conciliante que ne l'aurait été la précédente administration.

Et en Europe, on attend en mai le Règlement général pour la protection des données (RGPD), qui exposera les entreprises ayant perdu des données personnelles à des amendes pouvant aller jusqu'à 4% de leur chiffre d'affaires. Soit environ 260 millions de dollars dans le cas d'Uber.

Toujours est-il que la réputation d'Uber déjà ternie par plusieurs scandales( utilisation d'un logiciel pour rendre ses voitures invisibles aux yeux des forces de police) ne pourra en sortir grandie.