En octobre 2016, des pirates s’introduisirent dans le référentiel de code source de Uber dans GitHub, où ils trouvèrent des informations de sécurité leur permettant d’accéder aux données de Uber stockées dans Amazon Web Services, et dérobèrent 50 millions d’informations personnelles de clients, et 7 millions d’informations personnelles de chauffeurs, dont 1,4 million d’utilisateurs situés en France.

Un piratage qui ne fut révélé par Uber qu’en novembre 2017.

Aujourd’hui, la Commission Nationale de l’Informatique et des Libertés (CNIL) parvient à la même conclusion que les autorités américaines et d’autres autorités européennes avant elle : Uber a manqué à ses obligations de protection de données envers ses clients, en particulier :

  • La société aurait dû prévoir que ses ingénieurs se connectent à la plateforme collaborative de développement « Github » grâce à une mesure d’authentification forte (par exemple, un identifiant et un mot de passe puis un code secret envoyé sur un téléphone) ;
  • Elle n’aurait pas dû stocker en clair au sein du code source de la plateforme « Github » des identifiants permettant d’accéder au serveur ;
  • Pour l’accès aux serveurs « Amazon Web Services S3 » contenant les données des utilisateurs, elle aurait dû mettre en place un système de filtrage des adresses IP.

Trois points qui étaient connus dès novembre 2017.

En conséquence, la CNIL sanctionne Uber France SAS de 400 000 euros. À l’époque des faits, le Règlement général sur la protection des données n’était pas en vigueur. Sinon l’amende eut été bien plus conséquente pour Uber.

L’avocat général de l’Iowa avait amendé Uber de 148 millions de dollars (129 millions d’euros) pour les mêmes faits en septembre, dans une décision de justice avec les 50 États des États-Unis. L’autorité de protection des données des Pays-Bas a prononcé une amende de 600 000 euros et l’autorité britannique de 385 000 livres (environ 426 000 euros).

On constate que la CNIL n’a pas cru bon de rappeler d’une part la dissimulation frauduleuse par Uber de ce piratage pendant un an, et d’autre part que Uber avait acheté le silence des pirates 100 000 dollars.

Le numéro de la délibération de la formation restreinte de la CNIL est : Délibération n°SAN-2018-011 du 19 décembre 2018.