La Commission nationale de l'informatique et des libertés se joint aux amendes déjà infligées à Uber par ses homologues au Pays-Bas et au Royaume-Uni. La CNIL annonce ainsi une sanction de 400 000 € à l'encontre de l'entreprise de VTC pour une atteinte à la sécurité des données des utilisateurs.

Cette amende est en rapport avec la fuite de données de 2016 qui avait été dissimulée pendant plus d'un an par l'ancienne direction d'Uber. Quelque 57 millions d'utilisateurs dans le monde avaient été affectés, dont 1,4 million en France.

Pour rappel, Uber avait tenté d'étouffer le piratage en payant une rançon de 100 000 $ afin d'acheter le silence des attaquants, et avec la promesse de leur part de détruire des données dérobées comme les noms, adresses mail et numéros de téléphone portable.

L'incident de sécurité avait pour origine l'accès à un dépôt de code privé sur GitHub utilisé par des ingénieurs d'Uber. Les attaquants ont ensuite obtenu des identifiants pour accéder à des informations stockées sur un compte Amazon Web Services S3 où ils ont découvert les données personnelles.

Pour la CNIL, " l'attaque n'aurait pu aboutir si certaines mesures élémentaires en matière de sécurité avaient été mises en place ". Notamment, une authentification forte pour se connecter à GitHub, ne pas stocker en clair dans le code source sur GitHub des identifiants permettant d'accéder aux serveurs, un système de filtrage des adresses IP pour l'accès aux serveurs AWS S3.

La sanction prononcée est hors du cadre du Règlement général sur la protection des données (RGPD) en Europe qui est entré en vigueur le 25 mai 2018.