Vous êtes ici

Ajouter à mon espace persoLa CNIL inflige une sanction de 400 000€ à Uber pour une atteinte à la sécurité des données des utilisateurs

Pour ajouter ce contenu à vos favoris, il suffit de vous inscrire ou de vous identifier

21/12/2018

La CNIL inflige une sanction de 400 000€ à Uber pour une atteinte à la sécurité des données des utilisateurs

La CNIL a prononcé une sanction de 400 000 euros à l’encontre d’Uber pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC. En novembre 2017, la société Uber a révélé dans la presse qu’un an auparavant, deux individus avaient dérobé les données personnelles de 57 millions d’utilisateurs de ses services.
A la suite de cette révélation, le G29 (Groupe des CNIL européennes) a créé un groupe de travail dans le but de coordonner les procédures d’investigation de différentes autorités de protection des données.
L’enquête a mis en lumière les différentes étapes de l’attaque. Les attaquants ont tout d’abord réussi à accéder à des identifiants stockés en clair sur la plateforme collaborative de développement «Github». Ils ont ensuite utilisé ces identifiants pour accéder à distance à un serveur sur lequel sont stockées les données. Ils y ont téléchargé des informations relatives à 57 millions d’utilisateurs, dont 1,4 million situés sur le territoire français.
La formation restreinte de la CNIL a estimé que cette attaque n’aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place. Elle a notamment souligné que : la société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement «Github» grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ; elle n’aurait pas dû stocker en clair au sein du code source de la plateforme «Github» des identifiants permettant d’accéder au serveur ; pour l’accès aux serveurs «Amazon Web Services S3» contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.
Dans ces conditions, la formation restreinte a estimé que la société avait manqué à son obligation de sécurité des données personnelles. Elle a condamné la société Uber France SAS, établissement des sociétés Uber Technologies Inc. et Uber B.V, à une amende de 400 000 euros. Compte tenu de la date des faits, le RGPD n’était pas encore applicable.
 
Partager