“FIC2018”

Uber : une fuite de données, des péripéties, des impacts et des enseignements

0

Devenu un cas d’école en quelques jours seulement, de par les multiples péripéties qui le composent, le cas de la fuite de données que vient de connaitre Uber, s’avère être un vrai tremblement de terre dans le milieu de la sécurité informatique. Si les tenants et aboutissants de cette attaque sont intéressants à observer tant ils ont à voir avec un scénario hollywoodien, les leçons à tirer de cette affaire pour les entreprises, qui sont multiples, le sont tout autant.

Que pouvons-nous apprendre du cas Uber ? Quelles leçons en tirer et quels sont les impacts déjà percevables de cette faille de données déjà historique ?

 

  • Rappel des faits : Uber une entreprise au passé déjà tumultueux

Le 21 novembre dernier, le fraichement nommé PDG d’Uber, Dara Khosrowshahi révélait que les données de 57 millions d’utilisateurs à travers le monde ont été piratées à la fin 2016. Si cette attaque remonte à octobre dernier, un des premiers faits surprenants a été de constater cette faille à la une de l’actualité plus d’un an après les faits. En effet, la société aurait payé 100 000 dollars aux pirates pour qu’ils suppriment les données volées, et ainsi tenter de faire comme si de rien n’était. Uber aurait donc essayé de le cacher ce vol de données et c’est donc son PDG, Dara Khoshrowhashi, qui aurait décidé de le divulguer au grand public par dit-il « souci de transparence » puisqu’il avance n’avoir pris connaissance de ce vol qu’au cours du mois de novembre 2017.

Parmi les victimes de cette faille de données aux chiffres impressionnants (57 millions de personnes touchées par cette fuite) figurent près de 7 millions de chauffeurs, ce qui signifie donc que la plupart des victimes de cette attaque sont des clients de la marque de VTC. Pour ce qui est des données dérobées, les noms des utilisateurs ainsi que leurs adresses électroniques et numéros de téléphone mobile ont été subtilisés. Les données bancaires sembleraient elles préservées, tout comme les numéros de sécurité sociale et les dates de naissance des utilisateurs. Maigre consolation.

Pour arriver à leur fin, les hackeurs à la base de cette faille n’ont pas eu à chercher bien loin : en effet, ils ont pu accéder à un dépôt GitHub privé (service web d’hébergement et de gestion de développement de logiciels), utilisé par les ingénieurs d’Uber, où ils ont alors tout simplement récupéré des identifiants de connexion. Ces identifiants leur donnaient accès à un compte Amazon Web Services, contenant une archive avec l’intégralité des données précédemment citées.

La situation est d’autant plus compliquée à gérer pour Uber, puisque cette faille de données n’est qu’un nouveau coup dur pour le service de VTC américain. En effet, plusieurs mois de scandales et de polémiques avaient forcé le fondateur et CEO, Travis Kalanick, à démissionner avant l’été. Près de quatre mois plus tard, la nouvelle direction doit donc encore faire face aux mauvaises décisions de l’équipe précédente, ayant pour héritage une entreprise représentant des milliards de dollars mais ayant déjà une image de compagnie fidèle à sa culture libertaire, n’ayant que faire des lois.

  • Une fuite aux conséquences déjà visibles …

Pour la société et son nouveau PDG, l’enjeu dans les mois à venir va donc être de regagner la confiance des utilisateurs dont certains, au fil des révélations, ont bien évidemment arrêté d’utiliser le service et fermé leur compte. D’autant que les concurrents sont à l’affût.

Nous vous en parlions déjà il y a quelques semaines, Uber va devoir faire face à ses multiples mauvaises décisions, qui vont à l’encontre de tout ce que devrait faire une entreprise face à une fuite de données de la sorte.

Tout d’abord, il ne semble pas normal qu’Uber, une entreprise communément admise comme étant une société ancrée dans la transformation numérique, ait, du jour au lendemain, oublié les bonnes pratiques de la sécurité informatique. Aussi, le manque total de réactivité et de transparence de la marque auprès de ses clients est un autre point noir dans cette affaire, qui mène à amplifier les impacts négatifs qu’auraient déjà connus la marque en temps normaux.

Autre fait marquant et déstabilisant, le paiement d’une rançon de 100 000 euros aux pirates alors que rien ne garantissait la restitution ou destruction des données, même si Uber semble affirmer le contraire.

Autre conséquence à ces révélations, la CNIL et les Institutions Européennes compétentes ont décidé, le 29 novembre 2017, soit quelques jours après ces révélations d’ouvrir une enquête sur cette fuite de données. Uber s’est dit prêt à coopérer avec les grandes instances européennes. Affaire à suivre…

  • …Et quelques leçons à en tirer :

Pour l’instant, cette affaire, n’a pas encore eu de sanctions légales. D’ailleurs, drôle de coïncidence, la révélation de cette fuite de données arrive quelques semaines seulement avant la mise en place du RGPD, règlement européen qui visera à aider les organisations à réaliser l’importance de la protection des données dès mai 2018.

Mais il existe néanmoins déjà quelques leçons à tirer de cette récente affaire :

  • Dans un cas de fuites de données, la première leçon est que la dissimulation est toujours pire que le crime.

Votre sécurité informatique et votre image sont extrêmement liées : attendre de dévoiler de si gros problèmes de sécurité empire les dégâts et ébranle d’autant plus la confiance des clients qui aurait déjà été fragilisée par une simple faille. Ici, Uber a attendu plus d’un an avant d’informer le public et ses clients. Une affaire gérée avec rapidité et transparence aurait eu certes, un impact, mais bien moindre.

  • La deuxième leçon est que les violations de données ne sont plus une question de si, mais de quand ?

Même s’il est nécessaire de tout faire pour s’en prémunir, c’est un fait, une faille de données est un évènement que toutes entreprises, petites ou grandes peuvent connaitre. Il est donc également nécessaire d’anticiper ces situations pour réagir au mieux et éviter les impacts trop négatifs après une cyberattaque de la sorte.

Dans le cas de Uber cette faille s’est avéré être d’origine humaine (il faudra d’ailleurs préciser qu’identifier la source de vos vulnérabilités est primordial dans ce type d’attaque) : il est donc important, comme nous vous le rappelons souvent de penser à sensibiliser efficacement vos équipes.

Aussi, gardez en tête qu’il ne faut surtout pas payer des pirates même sous chantage : d’une part, parce que payer sans parler encourage cette nouvelle délinquance et la finance, et, d’autre part, parce que prévenir à temps les victimes potentielles peut permettre d’en limiter les impacts.

  • Troisième leçon, en cas de crise, prévoir et savoir comment réagir à l’avance : transparence et réactivité sont de mise.

Informer les clients concernés par une fuite de données, puis l’ensemble de sa clientèle sous 72 heures deviendra, au-delà d’être un choix de raison et de professionnalisme, bientôt une contrainte légale. En effet, le RGPD, règlement concernant les fuite de données est à mettre en place au plus vite si votre entreprise n’a pas encore entamé ses démarches : sachez qu’il ne vous reste qu’un peu moins de 6 mois. Nos équipes peuvent vous y accompagner avec des formations RGPD.

Nous vous en avions déjà parlé, faire face à des fuites de données est une épreuve difficile pour nombre d’entreprises qu’elles soient grandes ou petites. Conséquences financières ou d’image, les impacts de cette fuite sont multiples.

Pour ce qui est du cas Uber, Dara Khosrowshahi, 48 ans, ne ménage pas sa peine pour faire comprendre au monde entier que la compagnie de transport avec chauffeur privé (VTC) a changé : mais n’est-il pas trop tard ? Cette fuite de données ne sonne-t-elle pas la fin de l’apogée de la marque VTC, dans laquelle les clients ont de moins en moins confiance ?

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply