Tech&Co
Cybersécurité

Comment des employés d'Uber espionnaient les déplacements de leurs clients

L'application Uber

L'application Uber - BFMTV

Des milliers d'employés d'Uber pouvaient espionner les déplacements de politiciens, de célébrités ou simplement de leurs ex-petit(e)s ami(e)s. Il n'y aurait eu aucun contrôle d'accès aux données personnelles.

Révélée dans la presse en 2014, la fameuse fonctionnalité "God View" - qui permettait aux cadres d'Uber d'espionner les déplacements de ses clients en temps réel - revient sur le devant de la scène. Mais cette fois-ci par le biais d'une affaire judiciaire. Licencié en février dernier, Ward Spangenberger occupait chez Uber un poste d'expert en sécurité informatique. Il estime que son licenciement est abusif car fondé sur son âge (45 ans) et son rôle de lanceur d'alertes interne.

Dans un procès-verbal révélé par Reveal News, il explique avoir averti sa direction à plusieurs reprises sur le manque cruel de protection des données personnelles des clients d'Uber. Selon lui, les employés d'Uber pouvaient aisément espionner les déplacements "des politiciens de premier plan, des célébrités, et même des relations personnelles (…) comme les ex-petit(e)s ami(e)s ou les ex-conjoint(e)s".

Priorité à la croissance

Pour chaque course, Uber collecte en effet tout un tas d'informations qui se retrouvent stockées dans sa base de données, comme le montre l'annexe du procès-verbal: le nom, l'adresse et l'email de l'utilisateur, les points de départ et d'arrivée, la durée du trajet, l'endroit depuis lequel la requête a été faite, le type de terminal utilisé (Android, iPhone…), le type de moyen de paiement (Visa, Mastercard, Google Wallet, PayPal…) etc. 

D'autres ex-employés d'Uber interrogés par Reveal News corroborent cette affirmation, estimant que "des milliers d'employés" pouvaient accéder à ces informations sensibles. "Cela ne nécessitait l'approbation de personne", souligne Michael Sierchio, qui a quitté Uber en juin dernier. L'entreprise aurait sciemment sacrifié la sécurité des données clients sur l'autel de la conquête des marchés. "Le mantra était la croissance à tout prix, donc vous pouvez vous imaginer que la sécurité passait au second plan", ajoute Michael Sierchio.

En janvier dernier, après avoir été la cible d'une enquête judiciaire, Uber a promis d'instaurer des garde-fous. Mais selon M. Spangenberger, cette réforme se serait limitée à la création d'une fenêtre pop-up qui informe l'employé sur le caractère sensible des données clients qu'il va consulter et des règles de confidentialité à respecter. Par ailleurs, l'accès en temps réel serait toujours d'actualité, tout comme la fonction "God View", simplement rebaptisée "Heaven View".

Uber nie en bloc

De son côté, la direction d'Uber réfute les allégations de M. Spangenberger. "Nous avons beaucoup investi dans le renforcement du contrôle d'accès durant ces dernières années. Dans l'état actuel des choses, il n'est pas vrai qu'il suffit de valider les règles de confidentialité dans une fenêtre pop-up pour accéder aux données clients", explique-t-elle dans les colonnes de Reveal News. Les accès aux données seraient ainsi enregistrés dans des fichiers de journalisation qui seraient régulièrement audités. Certaines équipes, par ailleurs, seraient désormais contraintes d'obtenir une approbation formelle avant de pouvoir accéder à ces données. Espérons que ce soit vrai.