Uber a même versé 100.000 dollars aux deux auteurs de l'intrusion et du vol de données en l'échange de leur silence.

Cette attaque informatique a permis le vol d'informations personnelles (noms, courriels, numéros de téléphones mobiles) appartenant à 57 millions d'utilisateurs à travers le monde, a déclaré la société sans préciser les pays concernés.

La découverte de cette attaque a conduit au départ de deux employés qui avaient à l'époque été chargés de s'occuper de l'incident, a dit Dara Khosrowshahi, lui-même nommé en août après le départ de son prédécesseur, Travis Kalanick, le fondateur d'Uber.

Dara Khosrowshahi a affirmé mardi n'avoir été informé que très récemment de l'existence de cette attaque, survenue en octobre 2016. Selon une source au fait du dossier, Travis Kalanick avait été informé de cette faille le mois suivant.

A l'époque, Uber négociait avec la Federal Trade Commission (autorité de la concurrence aux Etats-Unis) à propos de la gestion des données privées.

L'ICO britannique (Information Commissionner's Office, autorité de régulation des données publiques et sur la vie privée) a déclaré que la dissimulation de données par Uber soulevait d'"énormes inquiétudes" sur la politique d'Uber en matière de données privées et d'éthique.

"NOUS ALLONS TIRER LES LEÇONS DE NOS ERREURS"

La loi britannique prévoit une amende maximale de 500.000 livres (564.000 euros environ) lorsqu'une entreprise "oublie" d'informer les utilisateurs et les régulateurs d'un vol de données informatiques.

Dara Khosrowshahi a précisé qu'Uber avait commencé à prévenir les autorités de régulation. Le bureau du procureur général de New York a ouvert une enquête. Les régulateurs en Australie et aux Philippines examinent également le dossier.

Cette information est divulguée alors qu'Uber tente de surmonter une série de crises qui a culminé lorsque Travis Kalanick a été fermement prié de quitter ses fonctions.

Selon le communiqué diffusé par Uber, deux pirates ont téléchargé une base de données à partir de serveurs utilisés par Uber. Outre les informations personnelles des 57 millions d'utilisateurs, ils se sont emparés d'une liste de noms et de numéros de permis de conduire appartenant à quelque 600.000 chauffeurs partenaires.

"Rien de tout cela n'aurait dû se produire et je ne présenterai aucune excuse", a écrit Dara Khosrowshahi sur son blogue.

"Si l'on ne peut effacer le passé, je peux m'engager au nom de chaque employé d'Uber que nous allons tirer les leçons de nos erreurs", a-t-il ajouté.

D'après une autre source informée, une enquête interne a eu lieu et conclu que ni Kalanick, ni Salle Yoo, conseil juridique d'Uber à l'époque, n'ont été impliqués dans la dissimulation de ce piratage.

(Jim Finkle à Toronto, avec la rédaction de San Francisco et Eric Auchard à Londres; Nicolas Delame pour le service français)