Cybersécurité : à quel point sommes-nous protégés ?

Le piratage de milliers de comptes d'utilisateurs de l'application Uber vient relancer le débat sur la sécurité des données personnelles. Surtout dans la mesure où la faille vient de l'intérieur. 

La société a annoncé que plus de 57 millions de comptes ont été piratés en 2016, qu'ils soient client ou chauffeurs. Parmi ces données, on retrouve les noms, les adresses mail et les numéros de téléphone des clients. Mais aussi les numéros de permis de conduire de plus de 600 000 chauffeurs américains. Pour le moment, on ne sait pas si les données françaises sont concernées. Dara Khosrowshahi, la PDG d'Uber, ne donne aucune précision sur les nationalités des utilisateurs touchés. Cependant, Uber revendait 1,5 million d'usagers en France en 2016. 

Uber refuse de communiquer sur l'incident

Obtenir des informations sur cette attaque majeure est quasi-mission impossible tant les responsables Uber se renferment sur eux-mêmes. La situation devient même incroyable au Canada puisque tout le monde sait que de données ont aussi été subtilisées au nord des Etats-Unis. Pour autant, la compagnie a refusé purement et simplement de répondre aux questions pour savoir combien de canadiens sont touchés. 

Pourquoi un tel mutisme ?

Il y a plusieurs réponses qui peuvent expliquer cette absence de réponses. La première serait de penser qu'Uber ne souhaite pas communiquer tant que la justice n'aura pas fait son travail. Mais la deuxième beaucoup plus logique serait de dire qu'Uber ne souhaite pas faire une nouvelle fois l'objet d'une mauvaise publicité. Il faut savoir que la compagnie est dans une mauvaise passe avec des fermetures massives de marchés. Une nouvelle affaire et la réputation toute entière du service se casserait la figure, en même temps que sa cote en bourse. 

Voulant absolument garder cette affaire secrète, la multinationale n'a pas hésité à payer les pirates 100 000$ US pour qu'ils détruisent les informations volées. Et on comprend mieux l'intention d'Uber de cacher l'incident quand on sait que la faille venait de l'intérieur.

Doit-on ouvrir la boite de Pandore ?

A travers cette question, nous nous demandons s'il est possible et raisonnable d'autoriser une instance suprême à veiller à la bonne utilisation et protection des données personnelles des utilisateurs. Pour étayer ce propos, on peut se souvenir de l'affaire qui avait opposé Apple au FBI. Fin décembre 2015, un couple américain fait irruption dans un centre pour chômeurs en étant lourdement armé. Ils font un carnage. Le FBI récupère ensuite l'Iphone d'un des auteurs de la fusillade mais est dans l'incapacité de l'utiliser, en cause une clé de chiffrement inviolable qu'Apple refuse de délivrer. La raison est simple : cet acte ne serait pas maîtrisable par la suite et compromettrait la sécurité des informations de tous les utilisateurs de ce modèle de smartphone. 

En clair, si l'on donne la possibilité à une institution (ou groupe de travail, la dénomination exacte importe peu) de mettre la main sur toutes les données numériques des utilisateurs, qui viendra contrôler ce qu'elle en fait ? En cas de faille, vers qui le consommateur pourra-t-il se tourner puisqu'il a délibérément donné ces informations ? Pour l'heure, aucun gouvernement ne souhaite donner de réponse sur cette situation qui risque d'arriver plus tôt que prévu. 

«La protection de la vie privée de nos utilisateurs et de nos partenaires-chauffeurs est d'une importance capitale pour Uber. C'est pourquoi nous collaborons étroitement avec différentes autorités à travers le monde, dont le Commissariat à la protection de la vie privée du Canada», a déclaré Jean-Christophe de le Rue, porte-parole pour Uber Canada, dans un courriel. «Tant que nous n'aurons pas complété ce processus, nous ne sommes pas en mesure de partager plus de détails.» Pour l'heure, il a juste déclaré que les deux personnes qui avaient orchestré cette attaque ne travaillaient plus chez Uber. 

Dans le même temps donc, le procureur général de New York a annoncé l'ouverture d'une enquête car les lois de cet Etat exigent que les entreprises signalent tout vol de leurs données. A Londres, les autorités ont déjà prévenu que l'amende dont pourrait écoper Uber sera plus importante qu'initialement prévu car la société à cherché à camoufler le problème. 

La jurisprudence Yahoo

Trois milliards d'utilisateurs avaient été piratés entre 2013 et 2014. Seulement, l'entreprise avait absolument cherché à cacher cet incident, avant de rendre publique l'affaire en 2016. 

1 commentaire sur Cybersécurité : à quel point sommes-nous protégés ?

  1. Il semble qu’il faille encore et toujours citer cette vieille étude de Gartner, qui démontrait, chiffres à l’appui, que ~85% des attaques réussies venaient de l’intérieur – à noter, à toutes fins utiles (et parce que ça se passe déjà ici), que plus un collaborateur se sent précarisé dans l’entreprise, plus il aura tendance, soit à se foutre de sa sécurité, soit à carrément l’attaquer.

    Et que dire du silence de la boîte en question, sinon que ça n’est pas une loi obligeant à un full disclosure qui marchera – on le voit bien ici, quand ce sont “certaines” boîtes qui se font barboter les données privées de leurs clients, il ne se passe absolument rien et ladite loi n’est pas appliquée, par contre, quand c’est une petite entreprise, gare à elle ! Mais est-ce si étonnant dans un pays qui a 2 lignées de droits différentes et où la mansuétude, voire la complicité, va toujours à sens unique ?!

    Il-y-a actuellement une loi en gestation aux USA – concernant l’IoT, où l’état imposerait des normes minimales beaucoup plus élevées que celles qui existent en matière de sécurité dans le cadre de ses propres achats ; un genre de bon début – cela _pourrait_ aller dans le bon sens si jamais elle devait passer, cependant entre lobbying et corruption, ses chances actuelles sont de zéro.

    J’ai longtemps considéré R.Stallman comme un “intégriste” du logiciel libre, mais force est de constater aujourd’hui que c’est en réalité un visionnaire, car il avait anticipé tous les problèmes actuels, ainsi que pas mal d’autres, pour tout ce qui a trait aux données personnelles et au consentement plus ou moins éclairé des utilisateurs, il avait également anticipé ce qui se fait de plus en plus : le vol pur et simple de ces données par des applications “indélicates”.

    En fin de compte, tant que les états ne placeront pas la barre VRAIMENT TRÈS HAUT, question sécurité des logiciels et matériels, ainsi que des restrictions TRÈS fortes sur la collecte, utilisation, revente, etc, des données personnelles, ce genre de plaisanterie continuera allègrement à se produire. Malheureusement, les chances que cela arrive restent minimes, car ces états sont les premiers bénéficiaires des “fuites” et failles ; tout du moins, c’est ce qu’ils croient, au même titre que les simplets du FBI avec l’affaire Apple – et ils continueront à le croire tant qu’une grosse tuile ne leur aura pas mis le nez dedans et fait comprendre que ce qu’un gus de la NSA peut faire derrière sa console ou dans un entrepôt, leurs petits copains sont tout à fait capables de le faire également en utilisant exactement les mêmes failles (que la NSA garde pour elle, histoire de s’arroger le “droit” de pénétrer certains réseaux.)

    Jouer aux apprentis sorciers ou à celui qui a la plus grosse a toujours un coût exorbitant, et pour l’instant, c’est l’homme de la rue qui le paye, jusqu’au jour où il en aura assez…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Lire les articles précédents :
Budget de la Sécu : quand l’Assemblée et le Sénat se renvoient la balle

Après son adoption en première lecture, le budget du projet de loi de financement de la Sécu 2018 (PLFSS) rencontre...

Fermer