Partager cet article

Uber soupçonne son concurrent Lyft d'avoir aidé à hacker des données sur ses conducteurs

Les taxis et Uber, à la lutte partout en Europe. REUTERS/Sergio Perez.

Les taxis et Uber, à la lutte partout en Europe. REUTERS/Sergio Perez.

La base de données avait été copiée à l'aide d'une clé de sécurité gardée par erreur sur une page publique.

En mai 2014, environ 50.000 noms de conducteurs et plaques minéralogiques d'Uber avaient été volés. La nouvelle n'avait été officialisée qu'en février dernier. Ars Technica avait ensuite précisé que les serveurs d'Uber n'avaient pas forcément été piratés dans le sens où on l'entend habituellement, puisque «la clé de sécurité qui déverrouillait la base de données était stockée dans un endroit accessible publiquement, soit l'équivalent de planquer sa clé de porte d'entrée sous son paillasson».

The Verge rappelle ainsi que la clé de sécurité est restée publique pendant près d'un an avant que la brèche ne soit rendue publique. «La question de savoir qui est la personne qui a accédé à cette page est devenue centrale dans l'affaire d'Uber». Comme l'a noté la Cour, il est envisageable que cet abonné qui a consulté la page GitHub puisse «aider à "révéler l'acteur mal intentionné" responsable du hack»indique Reuters.

L'adresse IP traquée

Alors que l'enquête avance pour savoir qui est donc allé chercher la clé sous le paillasson, Reuters précise que, selon deux sources proches du dossier, le chef de la technologie de Lyft –un concurrent d'Uber–, Chris Lambert, serait lié à cette histoire. Comme le raconte le site spécialisé Re/Code:

«Uber a demandé un subpoena pour révéler l'identité d'un abonné Comcast [un opérateur et fournisseur d'accès à Internet américain]. L'entreprise y explique qu'elle croit que cet abonné a accédé au post GitHub qu'Uber avait accidentellement rendu public et qui dévoilait la clé vers les données des conducteurs. Le document de la Cour ne mentionne pas Lambert, mais deux sources ont expliqué à Reuters que le nom de Lambert est apparu quand Uber a cherché des informations sur l'adresse IP. L'abonné Comcast avait demandé à la Cour de rester anonyme, mais le juge a rejeté cette requête.»

Lyft récuse toute participation

Gizmodo précise cependant, une nouvelle fois, que «l'adresse IP de cet abonné Comcast est suspectée d'avoir eu accès à la clé de sécurité, et pas d'avoir hacké». Lyft a depuis réagi et indiqué à The Register qu'elle nie en bloc toutes ces accusations:

«Uber a laissé les identifiants de connexion à leur base de données de conducteurs accessible publiquement sur GitHub pendant des mois, avant et après une violation de sécurité en mai 2014. Nous avons enquêté sur cette histoire il y a un moment, et il n'y a aucune preuve qu'un employé de Lyft –dont Chris– ait téléchargé les informations ou bases de données des conducteurs d'Uber, ou avait quelque chose à voir avec leur violation de sécurité de mai 2014.»

Les deux entreprises ne sont pas forcément en très bon terme. Comme le rappelle le Wall Street Journal, la «rivalité entre les deux s'est étendue aux courts de justice, l'année dernière quand Lyft a attaqué en justice Travis VanderZanden, son ancien directeur des opérations, pour avoir supposément violé un accord de confidentialité qu'il avait signé au moment de rejoindre l'entreprise».

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte