Un séisme dans le joyeux monde des applis. La direction d'Uber a admis cette semaine que les données de 57 millions de ses utilisateurs avaient été piratées en octobre 2016. Après avoir donc dissimulé ce hacking d'ampleur pendant un an, l'entreprise s'est empressée d'assurer ce mardi 21 novembre que les coordonnées bancaires des usagers concernés n'avaient pas été dérobées. "Cela me paraît très bizarre qu'Uber ne stocke qu'une partie des données dans son Cloud Amazon, celui qui a été hacké par les pirates, sans les numéros de cartes bancaires", relève pour Marianne Julie Gommes, experte en cyber-sécurité. "Que les données bancaires ne soient pas du tout concernées me semble peu probable", abonde Claire Juiff, experte conseil en gestion de crise et formée au cyber-risque.

Le vol de données bancaires, c'est bien ce qui inquiète le plus les consommateurs lorsqu'un tel piratage est rendu public. Et puisque l'entreprise de transport individuel ne communique pas sur ce sujet, nous sommes allés à la pêche aux témoignages. Sur les réseaux sociaux, nous avons recensé au moins une centaine d'internautes affirmant publiquement que leur compte Uber avait été hacké en 2016. Rien que depuis septembre dernier sur la page Facebook d'Uber France, 34 personnes se sont plaintes d'avoir vu leur compte piraté. Enfin, parmi les cent posts que nous avons recensés, 94 signalaient un problème survenu à partir du mois d'octobre 2016, celui du hacking géant. Et ce ne sont là que les consommateurs ayant fait état publiquement de leurs difficultés. Contactée pour savoir si un lien pouvait être établi, l'entreprise n'a pas souhaité nous répondre sur ce point.

Le procédé décrit par les victimes est toujours le même : elles réalisent qu'une ou plusieurs courses ont été commandées à leur insu, le plus souvent à l'étranger : Espagne, Italie, Pays-Bas, Allemagne ou même Mexique, Brésil, Canada, voire Bangladesh ou Nigeria… La Russie est championne toutes catégories, puisqu'elle est à l'origine des prélèvements de 28 personnes sur 44 mentionnant le pays d'où leur compte a été débité. Un indice sur la nationalité des pirates? "Peut-être que l'information circule plus facilement sur des plateformes russes, envisage Julie Gommes. Mais les données ont pu être récupérées par des pirates de toutes origines".

"Ils m'ont dit que ce n'était pas eux, que la fraude devait venir d'un de mes proches"

Gérard en a fait les frais. Entre le 3 et le 13 février derniers, il rapporte que quelque 75 courses ont été effectuées à son insu sur son compte, pour un montant total de… 2.358 euros. La plupart aux Etats-Unis mais aussi au Canada et en Australie : sacré voyageur, le compte de Gérard ! Moins globe-trotteurs, les pirates de Manon se sont "contentés" de commander des courses en Australie – pour la plupart – ainsi qu'en France, pour près de 400 euros.

Les deux utilisateurs floués déplorent la réaction d'Uber quand ils lui ont signalé le problème : "Quand je leur ai demandé de me dire quoi faire et que je leur ai signalé qu'il devait y avoir une grosse défaillance de leur système de sécurité, ils ne m'ont pas répondu, témoigne Gérard. Un mois après, ils m'ont recontacté pour me rassurer en me disant qu'ils avaient rétabli mon compte Uber. Moi je voulais une explication !". Une absence de justification qu'a également constatée Marion : "J'ai envoyé des mails à l'entreprise, à chaque fois c'était une bataille pour obtenir une réponse", nous rapporte cette utilisatrice de l'application depuis trois ans. "Ce serait bien qu'ils reconnaissent leurs torts", souffle-t-elle.

Julie, qui témoigne s'être fait prélever près de 1.000 euros en février 2016, rapporte s'être confrontée au même mur : "Quand je suis entrée en contact avec le service 'Help', mon premier interlocuteur m'a répondu que ce n'était pas l'entreprise, que les fraudes bancaires venaient généralement d'un ami, d'un membre de la famille, d'un collègue". Marion avait eu la même réponse.

Finalement, bien qu'Uber nous ait assuré procéder au "remboursement des transactions frauduleuses si c'est le cas", nos trois interlocuteurs nous assurent que cela n'a pas été le cas pour eux et qu'ils ont dû passer par leur banque pour se faire dédommager. Julie a tout de même dû prendre à sa charge une soixantaine d'euros de frais. Pourtant, l'entreprise avait finalement reconnu que son cas relevait bien d'une fraude via l'application et non par un proche. L'utilisatrice voulait poursuivre le hacker en justice mais a vite déchanté : "Mon interlocuteur d'Uber m'a dit qu'ils n'étaient en mesure de donner les coordonnées du fraudeur qu'à la police. Je ne sais pas si ça a été fait".

Rien ne garantit que les pirates aient supprimé les données

Mais de quelle manière les voleurs sont-ils parvenus à leurs fins ? Dans la faille géante rendue publique cette semaine, le piratage d'Uber a été on ne peut plus simple : ils ont trouvé les codes de sécurité de l'entreprise sur "GitHub", une plateforme où des développeurs ont l"habitude de publier les codes dont ils se servent pour programmer des logiciels ou des sites, afin de partager avec leurs pairs les projets sur lesquels ils travaillent. Or parfois, ils font des bourdes… "Un développeur d'Uber a publié un code sauf qu'au milieu de ce code, il y avait les mots de passe de sécurité de l'entreprise, nous explique Julie Gommes. Les pirates ont juste eu à les récupérer !".

Bloomberg a révélé cette semaine qu'Uber avait payé 100.000 dollars aux deux hackers identifiés pour supprimer les données piratées (et ne pas ébruiter l'affaire). Une somme que l'entreprise reconnaît auprès de Marianne avoir versée "en échange d'assurances que les fichiers soient détruits", tout en refusant de nous indiquer comment elle a pu s'assurer de la destruction effective des données après la transaction. "C'était un pari risqué car rien ne garantit que les hackers aient effacé les données de 57 millions de personne en échange de 100.000 dollars", relève Claire Juiff. Et rien ne dit que les deux individus identifiés aient été les seuls à être tombés sur les codes : "Même si les codes ont été retirés quand Uber s'est aperçu du hacking, ils ont pu traîner sur GitHub pendant des mois et des mois avant ça", signale Julie Gommes.

L'entreprise avait d'ailleurs déjà subi la même faille en 2014 : ses mots de passe de sécurité avaient été publiés sur GitHub et Uber ne s'en était rendu compte que six mois plus tard, lorsque les données de 5.000 conducteurs avaient été piratées. Ce qui n'a pas empêché le problème de se reproduire deux ans plus tard, donc. Cette fois, Uber nous assure avoir "restreint l'accès et renforcé le contrôle des données hébergées dans le Cloud". Mais s'agissant avant tout d'une erreur humaine, résultant du manque manifeste de sensibilisation de certains développeurs aux questions de sécurité, "c'est quelque chose qui pourrait se reproduire dans les mois à venir", avertit Julie Gommes.



La dissimulation qui a suivi les piratages, elle, ne devrait plus se répéter longtemps, en Europe tout du moins. En mai prochain entrera en effet en vigueur le nouveau règlement européen sur la protection des données personnelles, qui obligera notamment les entreprises à notifier l'autorité de protection des données, ainsi que les usagers concernées, en cas de violation de données personnelles. Et ce, 72 heures après les faits. Dans le cas contraire, Uber et consorts risqueront une amende à hauteur de 20 millions d'euros ou de 4% de leur chiffre d'affaires mondial.Ce qui devrait s'avérer plus dissuasif que la réaction actuelle du gouvernement français qui, via une lettre envoyée ce jeudi 23 novembre par Mounir Mahjoubi, secrétaire d'Etat chargé du Numérique, demande poliment : "Pouvez-vous à ce jour nous indiquer si des utilisateurs français sont concernés et si oui combien ?". Pas über-énervé, l'ex-chargé de la campagne numérique d'Emmanuel Macron…