Le piratage massif des données des utilisateurs du groupe américain de réservation de voitures avec chauffeur Uber n'a apparemment pas eu de conséquences immédiates, mais il rappelle cruellement que nous sommes condamnés à faire confiance aux applications et services que nous utilisons.

Que s'est-il passé?

Le PDG d'Uber Dara Khosrowshahi a révélé mardi que les données de 57 millions d'utilisateurs de la célèbre application de VTC à travers le monde ont été piratées fin 2016.

Leurs noms, adresses électroniques et numéros de téléphone ont été subtilisés, ainsi que les numéros de permis de conduire de 600 000 chauffeurs américains. Uber affirme qu'aucune information bancaire n'a été exfiltrée, pas plus que les dates de naissance, les historiques de trajets ou les numéros de sécurité sociale (importants aux États-Unis).

La direction dit n'avoir constaté «aucune preuve de fraude ou d'utilisation frauduleuse liée à cet incident», et «surveille les comptes affectés».

Comment les pirates ont-ils procédé?

Les données volées se trouvaient vraisemblablement sur un serveur externe d'Amazon Web Services --branche du géant Amazon proposant des hébergeurs dans le nuage (cloud)- auquel deux pirates ont accédé grâce à des identifiants récupérés sur un compte d'employés d'Uber chez l'entreprise de développement logiciel GitHub.

En quoi Uber est-il fautif?

Outre le problème de sauvegarde des données, Uber a cherché à cacher le piratage.

Le nouveau PDG Dara Khosrowshahi --arrivé fin août-- a reconnu qu'il s'était interrogé sur le fait que l'information n'ait été relayée qu'un an après les faits. Il estime en outre que l'entreprise a failli en n'informant pas immédiatement les victimes et les autorités. L'ancien patron, Travis Kalanick, était au courant, selon une source proche du dossier.

En outre, Uber aurait versé 100 000 dollars aux pirates afin qu'ils ne divulguent pas l'existence de cet incident et détruisent les informations collectées, selon une source proche du dossier.

Qui est touché?

Beaucoup de monde. Si Uber n'a pas précisé qui parmi ses clients avait été touché, le chiffre de 57 millions est énorme, quand l'ancien patron Travis Kalanick déclarait en octobre 2016 --plus ou moins au moment des faits-- compter 40 millions d'utilisateurs actifs dans le monde.

Sean Sullivan, conseiller en sécurité chez le finlandais F-Secure, note à ce propos que les entreprises ont toujours tendance à minimiser le nombre de victimes, et les pirates à gonfler leur «butin». Il faudrait qu'une tierce partie fasse une enquête approfondie, dit-il.

En outre, de mauvaises surprises ne sont pas exclues, selon Gérôme Billois, spécialiste de la cybersécurité chez Wavestone. «Pour les particuliers, il faut attendre un peu», dit-il, n'excluant pas «des répliques», c'est-à-dire de nouvelles révélations désagréables.

Quelles sont les conséquences pour les utilisateurs?

À priori pas grand chose en l'état, même si une telle quantité de données a une valeur marchande certaine chez les cybercriminels. Peut-être avons-nous reçu plus de courriels indésirables ou de SMS publicitaires...

Les experts interrogés par l'AFP pointent cependant que des pirates informatiques disposant des noms, courriels et numéros de téléphone peuvent monter des campagnes d'hameçonnage en créant de faux courriels d'Uber, lesquels inviteraient les victimes à «confirmer» leurs coordonnées bancaires ou à cliquer sur des liens vérolés qui introduiraient des virus sur leurs machines.

Que peut-on faire?

«Pas grand-chose», soupire Jérôme Robert, responsable marketing d'EclecticIQ, une société néerlandaise spécialisée dans les cybermenaces. Nous pouvons toujours mentir en donnant une fausse date de naissance ou un faux numéro de téléphone, mais «au bout d'un moment, ça ne marchera plus, parce qu'il y a des vérifications», note-t-il.

Il faut donc croiser les doigts... Nous sommes en fait plus ou moins condamnés à faire confiance aux applications. Il faut donc éviter de donner nos coordonnées à celles que nous n'utilisons pas et/ou qui n'inspirent pas confiance. À tout le moins, utiliser une adresse électronique alternative pour ce genre de services, différente de l'adresse principale.

Que risque Uber?

Des amendes, sans doute, d'autant qu'il y a apparemment eu dissimulation.

Aux États-Unis, remarque Sean Sullivan --lui-même américain---, l'équipe de Donald Trump pourrait être plus conciliante que ne l'aurait été la précédente administration.

Et en Europe, on attend en mai le Règlement général pour la protection des données (RGPD), qui exposera les entreprises ayant perdu des données personnelles à des amendes pouvant aller jusqu'à 4% de leur chiffre d'affaires. Soit environ 260 millions de dollars dans le cas d'Uber.

«S'ils ne paient pas une amende, il y aura un coût», note M. Sullivan, qui estime par exemple que le renouvellement de la licence d'Uber à Londres sera plus difficile à obtenir. Sans parler de la mauvaise publicité parmi la clientèle.