Uber refuse de dire combien de Canadiens sont touchés par l'intrusion informatique qui a permis à des pirates de voler les renseignements personnels de plus de 57 millions de clients du service de transport alternatif.
Uber Canada indique sur son blogue que les noms, les adresses de courriel et les numéros de téléphones portables de ces clients ont été subtilisés, mais la compagnie ne précise pas où ils se trouvent sur la planète. Elle révèle uniquement que les pirates ont volé les numéros de permis de conduire de 600 000 clients aux États-Unis.
La compagnie n'a pas répondu aux questions pour savoir combien de Canadiens sont touchés.
Uber a reconnu avoir payé 100 000 $ US aux pirates pour qu'ils détruisent les informations dérobées.
Le procureur général de New York a annoncé l'ouverture d'une enquête dans cette affaire, car les lois de cet État exigent que les entreprises signalent tout vol de leurs données. À Londres, les autorités britanniques ont prévenu que l'amende dont pourrait écoper Uber sera plus importante puisque la compagnie a cherché à camoufler le problème.
Le porte-parole néo-démocrate en matière de sécurité publique, Matthew Dubé, estime que cet incident illustre la nécessité pour le Canada d'élaborer une loi requérant la divulgation de toute brèche de données.
Le directeur du secteur de la sécurité nationale au Conference Board du Canada souligne que le signalement des piratages permet aux experts d'apprendre de ces cas, en plus de conserver la confiance des clients.
«Dans le monde complexe et interconnecté d'aujourd'hui, il est impossible d'avoir une sécurité à 100 pour cent, donc on doit être préparé à réagir si quelque chose de fâcheux se produit», avance Satyamoorthy Kabilan.
La révélation faite mardi constitue la plus récente tuile sur la réputation d'Uber.
L'entreprise de San Francisco a écarté Travis Kalanick du poste de chef de la direction en juin après qu'une enquête interne eut conclu qu'il avait bâti une culture d'entreprise ouvrant la voie au harcèlement sexuel contre des employées et encourageant les employés à étirer le cadre légal.
C'est aussi un autre exemple d'une grande entreprise de technologie qui a attendu des mois, voire des années, avant de dire à ses utilisateurs qu'ils pourraient être affectés par une attaque informatique.
Yahoo n'avait pas parlé du piratage qui a affecté trois milliards de ses usagers entre 2013 et 2014 avant 2016. L'entreprise d'évaluation de crédit Equifax a quant à elle attendu plusieurs mois avant d'informer ses clients d'une attaque informatique qui avait dérobé les numéros de sécurité sociale de 145 millions d'Américains. Equifax avait tardé à préciser que seulement 8000 Canadiens étaient touchés.
