Dans une lettre adressée au patron d'Uber, le secrétaire d'État au numérique, Mounir Mahjoubi, exprime son inquiétude après la révélation tardive de la fuite de données massive qui a touché l'entreprise de VTC en octobre 2016.

Uber-application D'après cette missive, dont l'AFP a consulté une copie, le secrétaire d'État au numérique français veut savoir si des utilisateurs français sont concernés, et le cas échéant pour quels types de données exactement.

Dans sa communication sur l'incident, Uber a pour le moment évoqué le cas de la compromission des données de 57 millions d'utilisateurs dans le monde, et pour les numéros de permis de conduire de 600 000 chauffeurs aux États-Unis.

La présence d'utilisateurs français ne fait pas vraiment de doute. En octobre 2016, l'ancien patron et cofondateur d'Uber, Travis Kalanick, avait mentionné plus de 40 millions d'utilisateurs actifs dans le monde.

Les données porteraient sur les noms, adresses mail et numéros de téléphone portable des comptes. Selon Uber, l'historique des trajets, les numéros de cartes de paiement et de comptes bancaires, les numéros de sécurité sociale et les dates de naissance n'ont pas été compromis.

Rappelons que l'incident de sécurité serait dû à deux individus ayant obtenu un accès à un dépôt de code privé sur GitHub utilisé par des ingénieurs logiciels d'Uber. Ils auraient ensuite obtenu des identifiants pour accéder à des données stockées sur un compte Amazon Web Services, et y auraient découvert les fameuses données d'utilisateurs.

Uber a tenté de dissimuler la fuite de données et aurait notamment payé une rançon de 100 000 $ pour acheter le silence des attaquants et la promesse de la destruction des données dérobées. Pour Mounir Mahjoubi, Uber doit informer volontairement les utilisateurs concernés ainsi que les autorités françaises.

Lors des questions au gouvernement à l'Assemblée nationale, le secrétaire d'État au numérique avait déjà rappelé l'entrée en vigueur à partir de mai 2018 du Règlement général pour la protection des données, en soulignant notamment l'obligation de notification aux autorités et aux clients eux-mêmes en cas d'incident de sécurité.

À la fin du mois, le groupement européen des autorités de protection des données va se pencher sur la cas de la fuite de données ayant touché Uber et sa gestion de l'affaire.