Vol de données chez Uber : il y aura un avant et un après

En dépit d’engagements pris auprès du gouvernement américain dans la lignée d’un piratage subi en mai 2014, Uber n’a pas amélioré la sécurité de son système d’information.

La Ville de Chicago l’affirme dans une plainte déposée ce lundi contre la société.

L’ouverture de cette procédure fait suite à l’officialisation, la semaine passée, d’un vol massif de données survenu en octobre 2016.

Uber a reconnu qu’à cette occasion, des tiers avaient pu récupérer des informations rattachées à 50 millions de passagers et 7 millions de chauffeurs.

La Ville de Chicago, qui porte plainte au nom de tous les résidents de l’État de l’Illinois, constate que la source de cet accès non autorisé est la même que celle de l’incident intervenu en 2014 : des identifiants de connexion à un espace cloud Amazon Web Services ont été retrouvés sur un dépôt GitHub privé.

Au-delà des enjeux de protection des données, il est reproché à Uber d’avoir tenté de dissimuler les faits ; en versant, en l’occurrence, 100 000 dollars aux auteurs de l’attaque pour qu’ils taisent leur méfait.

La Ville de Chicago demande des sanctions pécuniaires pour des infractions à plusieurs réglementations locales et lois nationales, dont le Consumer Fraud Act.

Du côté du Congrès américain, on n’en est pas encore à parler d’astreintes financières. Plusieurs parlementaires – en groupe ou à titre individuel – ont sollicité Uber pour tenter de comprendre pourquoi les révélations sont intervenues plus d’un an après l’incident.

Certains cherchent à savoir dans quelle mesure la firme a pris contact avec les forces de l’ordre. D’autres, comme le sénateur démocrate de Virginie Mark Warner, s’interrogent sur la manière dont les responsables de l’attaque ont été découverts… et si Uber n’aurait pas, dans ce cadre, tenté une contre-attaque informatique, illégale au regard du droit U.S.

SoftBank veille

En toile de fond, une opération majeure de financement dont le principal acteur devrait se nommer SoftBank.

Le conglomérat Internet-télécoms japonais – notifié du hack il y a plusieurs semaines, avec des « informations incomplètes », a reconnu Uber – doit intervenir sur le volet principal* de cette transaction en rachetant, en association avec Dragoneer Investment Group, des participations.

L’offre démarrerait ce mardi, pour 20 jours ouvrés, sur le Nasdaq Private Market. Elle se ferait, selon Reuters, sur la base d’une valorisation rabaissée de 68,5 milliards de dollars (dernière valeur communiquée) à 48 milliards de dollars.

Certains analystes manifestent leur étonnement face à un tel rabais – d’environ 30 % – plutôt caractéristique d’une entreprise en voie de rachat que sur le chemin de la Bourse (Uber vise ce cap pour 2019).

L’investissement, qui pourrait conférer au « groupement SoftBank » jusqu’à 20 % du capital d’Uber, est soumis à conditions, notamment au niveau de la gouvernance (élargissement du board et obligation, pour l’ex-CEO Travis Kalanick, de soumettre au vote ses décisions de nominations).

* L’autre volet consisterait en l’émission d’actions nouvelles, pour 1 milliard de dollars, dans le cadre d’une extension du tour de table de 3,5 milliards de dollars bouclé en juin 2016, et sur la base de la valorisation d’alors.