Uber révèle un imposant vol de renseignements

SAN FRANCISCO — Uber met cartes sur table concernant sa dissimulation d’une attaque informatique il y a un an ayant dérobé les renseignements personnels de plus de 57 millions de clients et de chauffeurs du service de transport alternatif.

Jusqu’à maintenant, il n’y a aucune preuve que les données volées auraient été utilisées à mauvais escient, a assuré le nouveau grand patron d’Uber, Dara Khosrowshahi, dans un billet de blogue publié mardi.

L’entreprise croit que rien de malveillant n’a été effectué, car elle a reconnu avoir payé 100 000 $ aux pirates pour qu’ils détruisent les informations dérobées.

La révélation faite mardi constitue la plus récente tuile sur la réputation d’Uber.

L’entreprise de San Francisco a écarté Travis Kalanick du poste de chef de la direction en juin après qu’une enquête interne eut conclu qu’il avait bâti une culture d’entreprise ouvrant la voie au harcèlement sexuel contre des employées et encourageant les employés à étirer le cadre légal.

C’est aussi un autre exemple d’une grande entreprise de technologie qui a attendu des mois, voire des années, avant de dire à ses utilisateurs qu’ils pourraient être affectés par une attaque informatique.

Yahoo n’avait pas parlé du piratage qui a affecté trois milliards de ses usagers entre 2013 et 2014 avant 2016. L’entreprise d’évaluation de crédit Equifax a quant à elle attendu plusieurs mois avant d’informer ses clients d’une attaque informatique qui avait dérobé les numéros de sécurité sociale de 145 millions d’Américains.

Uber veut apprendre de ses erreurs

M. Khosrowshahi a critiqué la gestion par l’entreprise du vol de renseignements personnels.

«Bien que je ne puisse pas effacer le passé, je peux m’engager au nom de tous les employés Uber que nous apprenions de nos erreurs», a-t-il écrit.

«Nous changeons la façon dont nous faisons des affaires en mettant l’intégrité au coeur de toute décision et en travaillant fort pour gagner la confiance de nos clients.»

Cette promesse ne devrait pas excuser Uber pour ses pratiques du passé, selon Sam Curry, chef de la sécurité à la firme de sécurité informatique Cybereason.

«Ce qui fait vraiment peur dans ça, c’est que Uber a payé un pot-de-vin, essentiellement une rançon, pour se débarrasser de cette faille, et ils ont agi comme s’ils étaient au-dessus des lois», a-t-il déploré.

«Ces personnes qui sont responsables de l’intégrité et de la confidentialité des données l’ont caché.»

Les pirates ont recueilli les noms, les courriels et les numéros de téléphone de 57 millions d’usagers. Ils ont aussi intercepté les numéros de permis de conduire de 600 000 chauffeurs d’Uber.

Uber a attendu à mardi dernier pour commencer à informer ses chauffeurs que leur numéro de permis de conduire avait été dérobé par les pirates. Les numéros de permis de conduire sont particulièrement utiles pour les vols d’identité. Pour cette raison, Uber paiera des services de protection d’identité à ses chauffeurs.

M. Kalanick, qui siège toujours au conseil d’administration d’Uber, a refusé de commenter le piratage, qui est survenu en octobre 2016.

L’attaque informatique a été gérée par le chef de la sécurité de l’entreprise, Joe Sullivan, un ancien procureur fédéral que M. Kalanick était allé recruter chez Facebook en 2015.

M. Khosrowshahi a demandé la démission de Joe Sullivan et a aussi largué l’avocat Craig Clark, qui se rapportait à M. Sullivan.

MM. Sullivan et Clark n’ont pas pu être joints par l’Associated Press.