Dernière mise à jour à 09h44 le 23/11
Uber Technologies Inc. a reconnu le 21 novembre que des pirates informatiques avaient volé des données personnelles appartenant à 57 millions de clients et de chauffeurs -un fait caché depuis plus d'un an. Selon Bloomberg, qui a signalé le piratage, l'attaque, qui a eu lieu en octobre 2016, a entraîné le vol mondial de noms, d'adresses e-mail et de numéros de téléphone appartenant à 50 millions de passagers d'Uber. Des informations personnelles concernant 7 millions de conducteurs à travers le monde ont également été volées, dont 600 000 numéros de permis de conduire aux États-Unis.
Après cette attaque, Uber était tenu d'alerter les régulateurs et les conducteurs dont les numéros de permis de conduire étaient compromis par le piratage. Au lieu de cela, d'après Bloomberg, Uber a payé 100 000 Dollars aux hackers pour effacer les données volées et garder le secret. Le bureau du procureur général de New York a annoncé le 21 novembre qu'il ouvrait une enquête sur cette violation de données. En attendant, Uber a limogé son chef de la sécurité, Joe Sullivan, et un de ses adjoints pour avoir dissimulé le piratage. Dara Khosrowshahi, le directeur général récemment installé du géant de la réservation de voitures avec chauffeur, a déclaré dans un blog qu'il avait récemment appris l'existence d'une faille. Il l'a décrite comme une attaque menée par deux pirates externes qui ont accédé aux données de l'entreprise stockées avec une société tierce basée sur le cloud.
« Nos experts scientifiques extérieurs n'ont pas vu d'indication que les historiques du lieu de voyage, les numéros de cartes de crédit, les numéros de comptes bancaires, les numéros de sécurité sociale ou les dates de naissance aient été téléchargés », a-t-il néanmoins précisé. Les pirates auraient volé des mots de passe appartenant à des ingénieurs d'Uber à partir d'un site privé de codage GitHub. Ils ont utilisé ces informations d'identification pour accéder ensuite aux données de l'entreprise stockées sur Amazon Web Services. Ils ont ensuite contacté Uber, exigeant de l'argent. Et Uber a accepté.
« Rien de tout cela n'aurait dû arriver, et je ne ferai pas d'excuses pour cela. Bien que je ne puisse pas effacer le passé, je peux m'engager au nom de tous les employés d'Uber à apprendre de nos erreurs », a déclaré M. Khosrowshahi, qui a été chargé de rectifier l'image et les pratiques commerciales d'Uber après avoir remplacé son fondateur controversé Travis Kalanick en tant que chef de l'entreprise en août. On ne sait pas quel rôle celui-ci, qui reste membre du conseil d'administration d'Uber, a joué à la suite du piratage. Son porte-parole a refusé de commenter. Il n'est pas inhabituel pour les entreprises de payer les pirates informatiques qui ont violé leurs systèmes. Les entreprises qui sont victimes de ransomware paient également souvent une redevance pour restaurer leurs systèmes.