Des cadres supérieurs d’Uber ont ordonné l’utilisation d’un « kill switch » pour empêcher la police et les régulateurs d’accéder à des données sensibles lors de raids sur ses bureaux dans au moins six pays, révèlent des fichiers divulgués.

Les instructions visant à empêcher les autorités d’accéder à ses systèmes informatiques faisaient partie d’une opération mondiale sophistiquée de la société de la Silicon Valley visant à contrecarrer les forces de l’ordre.

Les fichiers Uber, un cache de données confidentielles de l’entreprise divulguées au Guardian, révèlent comment l’entreprise a déployé son kill switch au moins 12 fois en France, aux Pays-Bas, en Belgique, en Inde, en Hongrie et en Roumanie.

Questions et réponses

Que sont les fichiers Uber ?

Spectacle

Les dossiers Uber sont une enquête mondiale basée sur une mine de 124 000 documents qui ont été divulgués au Guardian. Les données se composent d’e-mails, d’échanges iMessages et WhatsApp entre les plus hauts dirigeants du géant de la Silicon Valley, ainsi que de mémos, de présentations, de cahiers, de notes d’information et de factures.

Les dossiers divulgués couvrent 40 pays et s’étendent de 2013 à 2017, période au cours de laquelle Uber se développait de manière agressive à travers le monde. Ils révèlent comment l’entreprise a enfreint la loi, trompé la police et les régulateurs, exploité la violence contre les conducteurs et fait secrètement pression sur les gouvernements du monde entier.

Pour faciliter une enquête mondiale dans l’intérêt public, le Guardian a partagé les données avec 180 journalistes dans 29 pays via le Consortium international des journalistes d’investigation (ICIJ). L’enquête a été gérée et dirigée par le Guardian avec l’ICIJ.

Dans un communiqué, Uber a déclaré: « Nous n’avons pas et ne trouverons pas d’excuses pour un comportement passé qui n’est clairement pas conforme à nos valeurs actuelles. Au lieu de cela, nous demandons au public de nous juger sur ce que nous avons fait au cours des cinq dernières années. et ce que nous ferons dans les années à venir. »

Merci pour votre avis.

Uber a développé ses systèmes de coupe-circuit au milieu d’une vague de raids de la police et des fonctionnaires, qui rassemblaient des preuves pouvant être utilisées pour fermer le service de taxi sans licence d’Uber, saisir des véhicules ou poursuivre des conducteurs.

Lors d’un raid à Paris, la fuite montre des dirigeants d’Uber faisant semblant de « sembler confus » alors que des agents faisaient le tour de leur bureau pour exiger de voir les données. Ils ont discuté de la fermeture de l’accès des bureaux aux principaux systèmes informatiques de l’entreprise tout en regardant la police chercher des preuves dans les ordinateurs.

Des experts juridiques ont déclaré que les actions documentées dans les données soulevaient des questions sur d’éventuelles violations des lois contre l’entrave à la justice en France, aux Pays-Bas, en Inde et en Hongrie.

Alors que l’on savait qu’Uber avait utilisé un système de coupe-circuit dans certains pays, dont le Canada et Hong Kong, les fichiers divulgués révèlent que son utilisation était plus étendue qu’on ne le savait auparavant – et montrent comment il a été exécuté avec la participation de cadres supérieurs.

Travis Kalanick.
Travis Kalanick, qui a quitté son poste de directeur général en 2017. Photographie : VCG/Visual China Group/Getty Images

Des e-mails montrent à la fois Travis Kalanick, l’ancien directeur général d’Uber, et Zac de Kievit, son ancien directeur juridique en Europe, ordonnant au personnel informatique de « tuer » l’accès aux systèmes informatiques. Des instructions similaires ont été émises par Pierre-Dimitri Gore-Coty, qui fait toujours partie de l’équipe de direction de 11 personnes d’Uber.

Uber a déclaré que son logiciel « n’aurait jamais dû être utilisé pour contrecarrer une action réglementaire légitime ». Un porte-parole de Kalanick, qui a démissionné de son poste de directeur général en 2017, a déclaré que le coupe-circuit n’était utilisé pour entraver la justice dans aucun pays. Elle a déclaré que Kalanick n’avait jamais été inculpé dans aucune juridiction pour entrave à la justice ou pour toute infraction connexe.

« La police ne pourra pas obtenir grand-chose »

La première mention de l’utilisation d’un kill switch dans les dossiers Uber concerne deux raids en France fin 2014.

Le 17 novembre, après des mois de colère bouillonnante de la part des services de taxis traditionnels, qui estimaient que le modèle de covoiturage sans licence d’Uber était une concurrence déloyale, des responsables de l’autorité de régulation de la concurrence, la DGCCRF, se sont précipités sur le siège français d’Uber dans un parc d’activités du 19e arrondissement de Paris. .

Déjà en alerte après un raid à Lyon trois jours plus tôt, l’entreprise a agi rapidement.

Dans un message envoyé à 15h14, apparemment après le début du raid, De Kievit a envoyé un e-mail à un ingénieur informatique d’Uber au Danemark, disant : « S’il vous plaît, arrêtez l’accès maintenant », en copiant des cadres tels que Kalanick et Gore-Coty., qui dirigeait les opérations d’Uber en Europe occidentale.

Zak de Kievit.
Zac de Kievit, ancien directeur juridique d’Uber en Europe. Photographie : Reuters/Alay

Treize minutes plus tard, le technicien a répondu, confirmant que la procédure était « faite maintenant ».

Cette approche de ce que le personnel appelait les « visiteurs inattendus » allait évoluer l’année suivante après une descente de police à Bruxelles enquêtant sur l’utilisation par Uber de chauffeurs réguliers sans permis de taxi, un service connu à l’époque sous le nom d’UberPop.

Les autorités belges voulaient obtenir des données de l’entreprise sur les chauffeurs, qui étaient conservées sur des serveurs aux États-Unis, selon des documents. Le 12 mars 2015, huit agents armés portant des gilets pare-balles ont fait irruption dans le bureau de Bruxelles, accompagnés d’une demi-douzaine d’experts en informatique.

Contrairement à la France, la police a pris des mesures pour s’assurer que le personnel local ne pouvait pas communiquer avec le siège social d’Uber à San Francisco pendant le raid. Plus tard dans la journée, De Kievit a envoyé un e-mail à des dirigeants, dont Kalanick : « Notre équipe a été arrêtée et n’a pas eu l’occasion d’activer le coupe-circuit. »

Néanmoins, les patrons d’Uber semblent avoir approuvé une méthode alternative pour essayer de restreindre ce que la police pourrait trouver. Les avocats de Kalanick, Gore-Coty et Uber ont été copiés dans des e-mails dans lesquels des ingénieurs informatiques seniors discutaient de la suppression de l’accès aux ordinateurs portables qui avaient déjà été confisqués.

Dans un message, un technicien supérieur a déclaré au lobbyiste en chef d’Uber en Europe, Mark MacGann, qu’il l’avait fait via un système administratif appelé Casper. « Un verrouillage a été initié sur les machines qui ont été saisies », a-t-il écrit.

Plus tard cette année-là, une ordonnance d’un tribunal belge a forcé Uber à suspendre son service UberPop sans licence dans le pays. Mais les dirigeants d’Uber avaient tiré une leçon précieuse de l’expérience, comme le montrent les e-mails échangés entre les dirigeants.

Quatre jours après le raid de Bruxelles, des agents de l’unité de police française « Boers », dont le travail consistait à détecter les faux taxis, ont envahi le bureau de Paris par deux portes différentes. Les avocats d’Uber ont été empêchés d’entrer dans les locaux.

À ce moment-là, Uber avait « renforcé notre préparation » à la lumière de ce qui s’est passé à Bruxelles, selon un e-mail envoyé par MacGann à David Plouffe, responsable de la politique et de la stratégie d’Uber, après le raid.

« L’accès aux outils informatiques a été coupé immédiatement, de sorte que la police ne pourra pas obtenir grand-chose, voire rien », a-t-il rapporté. Une source présente ce jour-là se souvient que les écrans d’ordinateur sont simplement devenus noirs quelques secondes après l’arrivée de la police dans le bureau, comme s’ils avaient été éteints.

Le mois suivant, lors du deuxième des deux raids à Amsterdam par l’autorité néerlandaise des transports, l’ILT, les cadres supérieurs ont pris en charge la stratégie du kill switch.

Pierre-Dimitri Goré-Coty.
Pierre-Dimitri Gore-Coty, toujours dirigeant d’Uber. Photographie : Bloomberg/Getty Images

À 9h25, Gore-Coty a envoyé un e-mail au même technicien au Danemark qui avait coupé l’accès à Paris l’année précédente, lui ordonnant de répéter l’astuce. Sept minutes après l’e-mail de Gore-Coty, Kalanick a suivi, en copiant les avocats d’Uber : « S’il vous plaît, appuyez sur le coupe-circuit dès que possible… L’accès doit être fermé dans AMS. [Amsterdam].”

Amsterdam était le QG européen d’Uber et il fallait la défendre à tout prix. Heureusement pour Uber, il avait non seulement affiné ses protocoles depuis Bruxelles, mais avait appris à prévoir les raids et à se préparer en conséquence.

Quelques semaines plus tôt, De Kievit avait dit à ses collègues seniors que des raids étaient probables et que l’entreprise avait loué une « installation de stockage hors site et y avait déplacé tout notre papier ». Une liste de tous les employés du bureau avait été compilée «pour s’assurer qu’une mise à mort informatique touche tout le monde».

De Kievit a été placé en garde à vue et interrogé sur son rôle dans la coupure de l’accès informatique. Il a été condamné à une amende de 750 euros pour non-respect d’un ordre officiel, selon le procureur d’Amsterdam.

« Essayez quelques ordinateurs portables, paraissez confus »

Mais les cadres saluaient la démarche de l’avocat lors d’une autre perquisition, à Paris, le 6 juillet 2015. L’arrivée d’une vingtaine de policiers et agents de l’inspection fiscale française, peu avant 8 heures du matin, a provoqué une rafale de SMS parmi les cadres au sujet de comment les duper.

Thibaud Simphal, alors directeur d’Uber France, et maintenant responsable mondial du développement durable de l’entreprise, a pris son téléphone et a tenu MacGann et De Kievit informés.

MacGann lui a dit: « Utilisez le manuel de jeu » Zachary De Kievit « : essayez quelques ordinateurs portables, paraissez confus lorsque vous ne pouvez pas y accéder, dites que l’équipe informatique est à SF [San Francisco] et profondément endormi, et de toute façon tout cela est contrôlé par [Dutch parent company] Uber BV afin qu’ils écrivent à Uber BV avec leur demande.

Simphal a répondu: « Oh oui, nous avons utilisé ce livre de jeu tant de fois maintenant, la partie la plus difficile est de continuer à agir surpris! »

Alors que les enquêteurs commençaient à fouiller les ordinateurs portables, les dirigeants ont envoyé des dizaines de messages dans les deux sens, discutant de la manière d’entraver secrètement leurs efforts.

À 8 h 34, Simphal s’est rendu compte que l’accès à l’ordinateur de Gore-Coty n’avait pas été coupé et que tout enquêteur pouvait toujours accéder aux systèmes internes à moins que quelque chose ne soit fait. « Pierre, essaie de fermer cet onglet si tu peux », a-t-il envoyé un texto. Quelques minutes plus tard, à 8h38, De Kievit a confirmé qu’il travaillait avec des collègues « sur l’ordinateur de P ».

Mais Simphal n’a pu que regarder la police examiner l’ordinateur portable, demandant à ses collègues : « Pourquoi n’est-il pas coupé ? Ils parcourent son [Google] conduire. » La police avait alors eu accès à des « données très sensibles », a-t-il prévenu, ajoutant qu’ils « ne semblaient pas savoir ce qu’ils cherchaient ».

Les messages suggèrent que la police a averti le personnel qu’ils pourraient être placés en garde à vue si les ordinateurs portables étaient bloqués, mais la conversation sur la manière d’entraver l’enquête semble s’être poursuivie.

« Je leur donnerais accès à l’ordinateur mais en arrière-plan, nous avons coupé l’accès au cloud », a écrit De Kievit à 8h57. Deux minutes plus tard, un employé parisien confirme que « l’accès a été coupé pour Pierre ». « Je suis le suivant, alors assurez-vous que ma connexion est coupée », a-t-il ajouté.

Dans un communiqué, Uber a déclaré avoir cessé d’utiliser le kill switch en 2017, lorsque Dara Khosrowshahi a remplacé Kalanick au poste de directeur général et a remanié sa culture d’entreprise. MacGann a déclaré: « À chaque fois que j’étais personnellement impliqué dans des activités de » kill switch « , j’agissais sur les ordres exprès de ma direction à San Francisco. »

GiT intégré

Simphal n’a pas répondu directement aux questions sur l’utilisation d’un coupe-circuit, mais a déclaré que les problèmes d’Uber avec les régulateurs et les forces de l’ordre sont survenus pendant des « périodes très difficiles » qui se sont également révélées être des « expériences d’apprentissage ». De Kievit n’a pas renvoyé de demande de commentaire.

Un porte-parole de Kalanick a déclaré que le coupe-circuit n’était « pas conçu ni mis en œuvre pour entraver la justice ». Elle a dit qu’il était utilisé pour « protéger la propriété intellectuelle et la vie privée des […] clients et veiller au respect des droits à une procédure régulière en cas de perquisition extrajudiciaire ».

Ses avocats ont déclaré qu’aucune donnée n’ayant été définitivement supprimée au cours du processus, les autorités pourraient toujours l’obtenir plus tard.

Le porte-parole a déclaré que Kalanick ne supervisait pas les systèmes, qui n’impliquaient pas la suppression de données et étaient approuvés par les avocats d’Uber. Kalanick « n’a jamais été inculpé dans aucune juridiction pour entrave à la justice ou pour toute infraction connexe », a-t-elle ajouté.

Gore-Coty, qui dirige maintenant le service de livraison de nourriture Uber Eats, a déclaré au Guardian qu’il regrettait certaines des tactiques d’Uber, qui lui avaient valu une amende de 30 000 € en 2016 pour avoir exploité un service de taxi illégal, une décision qui a été confirmée en appel plus tôt cette an. L’affaire, dans laquelle Uber, Gore-Coty et Simphal sont défendeurs, fait l’objet d’un nouveau pourvoi devant la Cour de cassation française. Au moment où le coupe-circuit a été utilisé, a déclaré Gore-Coty, il était « jeune et inexpérimenté et suivait trop souvent les directives de supérieurs à l’éthique douteuse ».