En tant que PDG d’Uber, mon rôle est de faire en sorte qu’Uber reparte sur de bonnes bases et cela commence par bâtir une entreprise dont chaque employé, partenaire et client peut être fier. Pour y arriver, nous devons être honnêtes et transparents tout en travaillant à réparer nos erreurs du passé.

J’ai appris récemment que fin 2016, nous avons été informés du fait que des individus étrangers à l’entreprise avaient pu accéder de manière inappropriée à des données d’utilisateurs stockées sur les serveur d’un prestataire utilisé par Uber. L’incident n’a pas touché notre système ou nos infrastructures.

Selon nos experts externes, il n’y aurait aucune indication de ce que les historiques des lieux des courses, les numéros de carte de crédit et de compte bancaire, les numéros de sécurité sociale et les dates de naissance auraient été téléchargés.

Toutefois, ces individus ont été en mesure de télécharger des fichiers contenant un certain nombre d’informations, dont les suivantes :

    • Les noms et numéros de permis de conduire d’environ 600 000 chauffeurs aux Etats-Unis.
    • Des informations personnelles de 57 millions d’utilisateurs Uber dans le monde, dont les chauffeurs cités ci-dessus. Ces informations contiennent les noms, adresses email et numéros de téléphone.

Lorsque nous avons eu connaissance de cet incident, nous avons pris des mesures immédiates pour sécuriser les données et mettre fin à l’accès non autorisé de ces données par les individus en question.

Nous avons ensuite identifié ces individus et obtenu l’assurance que les données téléchargées avaient été détruites. Nous avons aussi mis en oeuvre des mesures de sécurité afin de restreindre l’accès et renforcer le contrôle de nos données hébergées dans le cloud.

Vous pouvez vous demander pourquoi nous évoquons cela seulement maintenant, un an après. J’ai eu la même question et j’ai ainsi immédiatement demandé une enquête approfondie sur ce qui s’est passé et la manière dont nous l’avions géré. Ce que j’ai appris, notamment s’agissant du défaut de notification des personnes affectées ou des autorités l’année dernière, m’a poussé à prendre plusieurs mesures :

  • J’ai demandé à Matt Olsen, le cofondateur d’une société de conseil en cybersécurité, ancien conseiller général de la National Security Agency et directeur du National Counterterrorism Center, de m’aider à réfléchir à comment guider et structurer nos équipes sécurité et leurs méthodes à l’avenir. A ce jour, deux des personnes qui ont mené la gestion de cet incident ne font plus partie de l’entreprise.
  • Nous notifions actuellement individuellement les chauffeurs dont les numéros de permis de conduire ont été téléchargés.
  • Nous fournissons à ces chauffeurs une protection gratuite contre l’usurpation d’identité.
  • Nous sommes en train de notifier l’incident aux autorités de régulation.
  • Même si nous n’avons observé aucune utilisation frauduleuse liée à l’incident, nous surveillons les comptes affectés et les avons signalés pour renforcer encore la protection contre les fraudes.

Rien de tout cela n’aurait dû arriver et je ne chercherai pas d’excuses. Même si nous ne pouvons pas effacer le passé, je m’engage au nom de tous les employés Uber que nous apprendrons de nos erreurs. Nous sommes actuellement en train de changer la manière dont nous exerçons notre activité, en mettant l’intégrité au coeur de chaque décision que nous prenons et travaillons dur pour regagner la confiance de nos utilisateurs.

Version en anglais ici.