De quelle faute la compagnie en charge d’un réseau de VTC s’est-elle rendue coupable ? s’interroge Bloomberg. D’avoir appliqué une mauvaise politique de mots de passe permettant à quelques pirates de passer d’un hack de compte Github à un accès illimité aux services AWS de l’entreprise ? D’avoir (a priori) trop mal protégé les données personnelles de 57 millions de clients, divulguant ainsi leurs noms, prénoms, adresses email et numéros de téléphone ? D’avoir offert sur un plateau d’argent les numéros de permis de conduire des chauffeurs travaillant pour son compte, dans un pays qui considère ledit permis comme principale pièce d’identité ? D’avoir payé une rançon de 100 000 USD et cédé au chantage des pirates ? Ou surtout d’avoir, un an durant, tenté d’étouffer l’affaire, tant aux oreilles du public que des autorités locales et Fédérale, violant au passage plusieurs lois obligeant les entreprises à révéler toute compromission de son système d’information. Il faudra, affirme la Direction de l’entreprise, un audit interne pour que les agissements de la cellule sécurité soient découverts, révélation qui coûtera son poste à Joe Sullivan, chef de la sécurité. Un chef de la sécurité qui n’aurait été tenu d’aucun devoir d’information auprès du comité exécutif ? Qui aurait camouflé avec succès l’intégralité de l’affaire pendant plus de 12 mois ? La pilule passera difficilement pour les enquêteurs Fédéraux, et n’est pas du tout acceptée par les usagers victimes de ce piratage. Déjà s’entassent les premières plaintes visant le procès en nom collectif.
Avec 57 millions d’identités d’usagers et plus d’un demi-million de numéros de permis dans la nature, Uber rejoint le cercle de moins en moins restreint des grands responsables de fuites de données par négligence, les Yahoo, les Equifax, les Deloitte et autres multirécidivistes comme Target. Le « mot du CEO » publié mardi soir est émaillé de détails qui, eux encore, soulèvent plus de questions qu’ils n’apportent de réponses rassurantes. AWS, service Cloud par définition et par construction, est qualifié de « service tiers », ce qui permet au patron d’Uber d’affirmer que le piratage « did not breach our corporate system or infrastructure ». Un service Cloud payé par l’entreprise n’appartient donc pas à son « corporate system or infrastructure », les DSI apprécieront. A l’instar des autres grands dirigeants, le CEO d’Uber tente de détourner l’attention des victimes en insistant sur le fait qu’aucune donnée bancaire n’aurait fait partie du flux de données volées… minimisant ainsi l’exposition publique de dizaines de millions d’identités physiques et numériques.