Le procureur de l'Etat de New York a ouvert une enquête après le piratage des données de 57 millions d'utilisateurs d'Uber à travers le monde, ont confirmé ses services mercredi. Parmi ces données figurent celles de 600'000 chauffeurs.
La société de location de voitures avec chauffeur (VTC) avait révélé mardi soir ce piratage survenu à la fin 2016 et qu'elle a tenu secret pendant plus d'un an.
Les noms des utilisateurs ainsi que leurs adresses électroniques et numéros de téléphone mobile ont été subtilisés, avait indiqué le nouveau PDG du groupe Dara Khosrowshahi. Les noms et numéros de permis de conduire des chauffeurs Uber ont aussi été piratés.
'Nous allons tirer les leçons'
Sur la base d'expertises externes, le PDG avait toutefois affirmé que l'historique des trajets, les numéros de cartes et de comptes bancaires, les numéros de sécurité sociale et les dates de naissance des utilisateurs n'auraient en revanche pas été dérobés.
'Rien de tout cela n'aurait dû se produire et je ne présenterai aucune excuse', a écrit Dara Khosrowshahi sur son blogue. 'Si l'on ne peut effacer le passé, je peux m'engager au nom de chaque employé d'Uber que nous allons tirer les leçons de nos erreurs', a-t-il ajouté.
Nombreuses enquêtes
Les services du procureur de New York, Eric Schneiderman, n'ont pas donné mercredi de détails sur la cible exacte de son enquête mais Uber avait conclu avec ce procureur un accord en janvier 2016 sur la protection des données de ses clients.
Cet accord faisait suite à une autre enquête ouverte en 2014 et portant sur un autre piratage ayant visé Uber. La société avait payé une amende de 20'000 dollars pour ne pas l'avoir non plus révélé en temps voulu. Ce piratage ne portait que sur des données relatives aux chauffeurs et non aux clients.
Un cabinet d'avocats américain, Keller Rohrback, a également annoncé qu'il ouvrait sa propre enquête sur le dernier piratage et lancé un appel aux utilisateurs du service de VTC pour qu'ils se fassent connaître. Ce cabinet est spécialisé dans les actions en nom collectif consécutives aux piratages informatiques.
Selon des sources proches du dossier, Uber aurait aussi versé 100'000 dollars aux hackers afin qu'ils ne divulguent pas l'existence de cet incident et détruisent les informations collectées.
'Enormes inquiétudes'
'En décidant de ne pas révéler ce piratage massif et en essayant d'en atténuer les conséquences en payant les pirates pour détruire les données, Uber a joué avec les données personnelles de ses utilisateurs et de ses chauffeurs', a affirmé Cari Campen Laufenberg, avocate chez Keller Rohrback dans un communiqué.
'De plus, il s'est tu pendant plus d'un an privant les victimes d'un temps précieux pour prendre des mesures afin d'atténuer le vol de leurs données privées', a-t-on accusé de même source.
En Grande-Bretagne, l'autorité de régulation des données publiques et sur la vie privée (ICO) a déclaré que la dissimulation de données par Uber soulevait d''énormes inquiétudes' sur la politique d'Uber en matière de données privées et d'éthique.
La loi britannique prévoit une amende maximale de 500'000 livres (657'000 francs) lorsqu'une entreprise 'oublie' d'informer les utilisateurs et les régulateurs d'un vol de données informatiques.
Dara Khosrowshahi a précisé qu'Uber avait commencé à prévenir les autorités de régulation. Les régulateurs en Australie et aux Philippines examinent également le dossier.
/ATS
