Uber

Beyoncé sous surveillance

Dans sa déclaration sous serment, M. Spangenberg affirme s’être également plaint que le manque de rigueur d’Uber en ce qui a trait à la sécurité « permettait aux employés d’Uber de traquer des politiciens de haut niveau, des célébrités, et même des connaissances d’anciens employés d’Uber, incluant des ex-conjoints/conjointes ou ex-épouses ». Selon l’enquête de Reveal, un mode appelé « Gods view », accessible à un grand nombre d’employés ayant accès à la plateforme Uber, a même permis à des employés de suivre les déplacements de la chanteuse Beyoncé.

Uber

Beyoncé sous surveillance

Dans sa déclaration sous serment, M. Spangenberg affirme s’être également plaint que le manque de rigueur d’Uber en ce qui a trait à la sécurité « permettait aux employés d’Uber de traquer des politiciens de haut niveau, des célébrités, et même des connaissances d’anciens employés d’Uber, incluant des ex-conjoints/conjointes ou ex-épouses ». Selon l’enquête de Reveal, un mode appelé « Gods view », accessible à un grand nombre d’employés ayant accès à la plateforme Uber, a même permis à des employés de suivre les déplacements de la chanteuse Beyoncé.

Uber

Données recueillies et conservées

Un document déposé en preuve démontre, selon M. Spangenberg, qu’Uber recueille et conserve, pour chaque course, des données précises concernant l’endroit d’où a été appelée la voiture, le type d’appareil utilisé, le nom et l’adresse courriel du client ainsi qu’une « myriade d’informations que les utilisateurs ne savent pas nécessairement fournir à Uber en commandant une voiture ». « Ceci est représentatif de certaines craintes que j’avais concernant le respect [par Uber] des lois des États et des lois fédérales [concernant la protection des renseignements personnels] », écrit M. Spangenberg.

Uber

Politique non respectée

M. Spangenberg soutient également que la Politique de gestion des vulnérabilités qu’il était appelé à administrer n’était pas respectée lorsque Uber considérait qu’il y avait une « raison légitime d’entreprise » à ne pas le faire, ou lorsqu’un directeur jugeait qu’il n’était pas nécessaire de la respecter.

Uber

Identité non protégée

L’ancien spécialiste de la sécurité ajoute que les informations personnelles concernant ses chauffeurs, notamment leur numéro d’assurance sociale, étaient accessibles à tous les employés, « peu importe leur rang ou leur habilitation de sécurité ».

Uber

Des ordinateurs verrouillés par Uber pour contrer le fisc

Un ancien expert en sécurité de la multinationale dit être intervenu dans les bureaux d’Uber de Montréal après une saisie de Revenu Québec

Un ancien expert en sécurité d’Uber, qui poursuit son ex-employeur pour congédiement abusif, affirme avoir travaillé au sein d’une « équipe de réponse aux incidents » qui avait pour mission de couper à distance l’accès aux ordinateurs quand les agences gouvernementales perquisitionnaient dans les bureaux de la multinationale. Il précise être intervenu après la saisie de Revenu Québec dans les bureaux d’Uber à Montréal, en mai 2015.

Embauché à titre d’« enquêteur judiciaire » (forensic investigator) » en mars 2015, Samuel Ward Spangenberg a travaillé pendant 11 mois pour Uber. À ce titre, il avait pour mandat de répondre aux menaces de sécurité informatique touchant l’entreprise partout dans le monde. Il devait aussi mettre en place un protocole de sécurité pour protéger l’infrastructure technologique d’Uber. Il était payé 175 000 $ par année pour ce travail.

En lien avec une poursuite qu’il a intentée contre Uber en mai 2016 pour congédiement abusif, M. Spangenberg a fait une déclaration sous serment dans laquelle il dit s’être plaint auprès de la haute direction d’Uber de certaines pratiques touchant la sécurité informatique de l’entreprise.

« Je me suis opposé au protocole mis en place par Uber pour faire face aux saisies menées dans les bureaux locaux d’Uber », écrit-il dans une déclaration sous serment déposée à la Cour supérieure de Californie, comté de San Francisco.

« Par exemple, en tant que membre de l’Équipe de réponse aux incidents, j’étais appelé quand des agences gouvernementales menaient des saisies dans les bureaux d’Uber pour non-respect des règles gouvernementales », ajoute-t-il.

« Dans ces cas, Uber bloquait l’accès aux bureaux et coupait immédiatement la connectivité pour que les forces de l’ordre n’aient pas accès aux informations d’Uber. »

— Samuel Ward Spangenberg

« J’avais alors pour tâche d’acheter du nouvel équipement pour le bureau dans les jours suivants, et c’est ce que j’ai fait quand les bureaux d’Uber à Montréal ont fait l’objet d’une perquisition », précise M. Spangenberg.

Dans un article publié cette semaine par Reveal et le Center for Investigative Reporting, M. Spangenberg ajoute que son travail était aussi de s’assurer que « chaque fois qu’un ordinateur portable était saisi, le protocole le verrouillait ».

Aucune information détruite

Dans une déclaration sous serment produite à l’intention de la Cour supérieure en mai 2015, M. Spangenberg avait précédemment affirmé que les ordinateurs saisis par Revenu Québec étaient déjà protégés par des mots de passe avant la saisie, et qu’aucune information n’avait été « détruite à distance par des responsables d’Uber pendant la perquisition ». Rien n’indique cependant dans cette déclaration que le contenu des appareils n’a pas été chiffré, ce qui les aurait rendus illisibles pour les inspecteurs de Revenu Québec sans un mot de passe fourni par Uber.

« Nous avons toujours affirmé et nous affirmons toujours qu’aucune information n’a été détruite. Suivant l’entente conclue avec Revenu Québec au cours de l’été, nous poursuivons notre collaboration avec eux pour tous les dossiers liés à nos opérations au Québec », a déclaré le porte-parole d’Uber Canada, Jean-Christope de Le Rue.

appui À Revenu Québec

M. Spangenberg n’a pas répondu à notre demande d’entrevue hier. Ses affirmations font écho aux prétentions de Revenu Québec, qui soutient qu’Uber a « manipulé à distance » des ordinateurs lors d’une saisie menée par ses enquêteurs rue Notre-Dame, le 14 mai 2015, en lien avec des allégations de non-paiement de TPS et de TVQ par ses chauffeurs.

Le directeur général d’Uber Montréal, Jean-Nicolas Guillemette, aurait alors dit aux enquêteurs « qu’il avait discuté avec les ingénieurs d’Uber Technologie San Francisco et que ces derniers avaient crypté les données à distance », selon une dénonciation déposée par Revenu Québec en Cour supérieure quelques semaines après la saisie.

L’affaire se trouve toujours devant les tribunaux. Uber a tenté de faire invalider la perquisition, mais la Cour supérieure a rejeté sa requête et la Cour d’appel a refusé de l’entendre. Uber tente maintenant d’être entendue par la Cour suprême du Canada.

Des allégations dépassées, selon Uber

En réaction à la publication de l’article de Reveal, l’actuel chef de la sécurité d’Uber a déclaré par courriel que « beaucoup des informations [alléguées par M. Spangenberg] sont dépassées et ne reflètent plus l’état de [leurs] pratiques aujourd’hui ». Uber assure avoir considérablement renforcé au cours de la dernière année ses procédures de sécurité et restreint l’accès aux informations confidentielles. « Sans la confiance de nos clients, nous ne pourrions être en affaires », écrit-il.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.