Après de multiples polémiques, la société Uber a annoncé mardi 21 novembre qu’elle avait été victime d’un piratage en octobre 2016. Et qu’elle l’avait caché pendant un an. 57 millions d’utilisateurs – chauffeurs et clients – se sont fait dérober leurs données personnelles.

Uber ne sortira décidément pas cette année de la tourmente. Après de nombreuses polémiques, notamment autour de son modèle économique et de son sulfureux fondateur Travis Kalanick, poussé à la démission au printemps, voilà que la société révèle un piratage massif caché pendant un an. Fin 2016, les données de 57 millions d’utilisateurs de la plate-forme Uber ont été piratées. Plutôt que de prévenir ses utilisateurs – une majorité de clients et 600 000 chauffeurs – la société a pris le parti de passer sous silence ce vol de données. Nom, adresses e-mail, numéro de téléphone. Mais selon Uber, les deux pirates n’auraient pas eu accès aux données bancaires, ni à l’historique des trajets.

Dara Khosrowshahi, nommé directeur général d’Uber à la fin du mois d’août pour remplacer le départ contraint de Travis Kalanick a indiqué dans un communiqué diffusé le 21 novembre, alors même que Bloomberg publiait son enquête que : « rien de cela n’aurait dû se produire et je ne vais pas chercher des excuses ». Aurait-il découvert le piratage une fois en poste ? Très probablement. Le nouveau directeur a lancé une enquête interne et licencié le directeur de la sécurité informatique et un juriste.

Cache-cache

Selon le New York Times, un mois après la découverte du piratage, un arrangement, approuvé par Travis Kalanick aurait été passé : la société a ainsi versé 100 000 dollars, soit plus de 85 000 euros, afin que les données soient toutes effacées.

Problème, la législation américaine impose les entreprises d’informer les utilisateurs. En jouant à cache-cache, Uber pourrait donc avoir de sérieux problèmes avec la justice. Le procureur général de l’Etat de New York a annoncé l’ouverture d’une enquête, indique Le Monde. Et le Federal Trade Commission (FTC) pourrait aussi se saisir du dossier, comme cela c’est déjà produit en 2014 lors d’une précédente attaque. Déjà cinq enquête sont en cours aux Etats-Unis, notamment pour des pots-de-vin. Non des moindres, Uber est poursuivi par Alphabet, la maison-mère de Google, pour vol de technologies dans le cadre de leurs recherches sur les voitures autonomes.

Les piratages de données personnelles sont de plus en plus fréquents : début septembre, l’entreprise Equifax avait révélé une attaque dans ses bases de données, alors que l’entreprise est spécialisée dans la récolte et l’analyse de données personnelles de clients sollicitant un crédit. 145 000 utilisateurs avaient été touchés. Et début octobre, rappelle Ouest France, c’est le Wall Street Journal qui avait révélé que des pirates informatiques avaient volé des documents des services de renseignement.

Les plus gros piratages informatiques restent ceux de Yahoo en 2014, avec 3 milliards de comptes exposés, suivi par Myspace en 2008 avec 359 millions de comptes touchés et de Linkedin avec 164 millions de comptes en 2012.