"Activez le kill switch !" : quand Uber neutralisait ses ordinateurs à distance pour bloquer les perquisitions

"C'est comme si le courant avait été coupé, se souvient un enquêteur. Tous les écrans se sont éteints en même temps." Ce 16 mars 2015, ils sont nombreux à investir les bureaux parisiens d'Uber pour une perquisition : "Big force [gros déploiement], 25 personnes, police judiciaire, (...) ils regardent dans les portables", prévient l'un des managers d'Uber présent sur place dans un message envoyé à sa hiérarchie. Les enquêteurs sont entrés "par deux portes simultanément pour empêcher quiconque aurait tenté de filer", précise l'un d'eux. Et pourtant, ces précautions ne suffisent pas : avant même d'avoir tenté d'accéder aux données, les écrans s'éteignent. Les enquêteurs interrogent le personnel, saisissent des ordinateurs… Mais en coulisses, de hauts responsables d'Uber échangent en direct par SMS : "L'accès aux outils informatiques a été coupé immédiatement. La police ne pourra pas récupérer grand-chose, voire rien du tout."

>> Uber Files : révélations sur la stratégie de lobbying du géant des VTC

Les faits semblent spectaculaires mais ils n'ont rien d'exceptionnel dans l'univers d'Uber. En 2014 et 2015, la jeune start-up est visée par d'innombrables procédures judiciaires et administratives dans les pays où elle essaie de s'implanter, notamment en Europe. Et plutôt que de collaborer, elle semble avoir mis en œuvre une stratégie destinée à empêcher le travail des enquêteurs. Elle a développé un outil au nom évocateur : "kill switch", un "coupe-circuit", activé sur ordre de la hiérarchie qui vise à protéger ses données de tout regard extérieur. D'après les données analysées par la cellule investigation de Radio France dans le cadre des Uber Files, une vaste enquête reposant sur une fuite de données partagée par le quotidien britannique The Guardian avec le Consortium international des journalistes d'investigation (ICIJ), cet outil d'obstruction a été activé à 13 reprises entre novembre 2014 et décembre 2015 dans sept pays : France, Inde, Belgique, Pays-Bas, Canada, Hongrie et Roumanie.

Le premier exemple documenté date du 13 novembre 2014 : "[Trois agents] sont interrogés par la DGCCRF [Direction générale de la concurrence, de la consommation et de la répression des fraudes] à Lyon. Nous avons coupé leur accès et envoyons un avocat dès que possible", écrit Zac de Kievit, alors directeur juridique d'Uber pour l'Europe, dans un mail envoyé à l'état-major de la société, y compris le président directeur général (PDG) Travis Kalanick. Le directeur général d'Uber France, Thibaud Simphal, s'inquiète : "Ils nous harcèlent véritablement en ce moment, tous les jours (...). Bercy et ses services commencent à se comporter comme l'Intérieur et les petits policiers qui veulent ‘bouffer du Pop' comme ils le disent sur les réseaux [en référence au service UberPop permettant à n'importe qui de se transformer en chauffeur VTC, et jugé illégal par les autorités]… Très décevant."

Quatre jours plus tard, le 17 novembre, rebelote mais à Paris. Zac de Kievit écrit aux mêmes destinataires : "La DGCCRF a perquisitionné notre bureau. L'accès a été coupé." David Plouffe, un ex-conseiller de Barack Obama recruté par Uber en 2014, demande :"Ils sont sous l'autorité de Macron, n'est-ce pas ?" Réponse de Zac de Kievit : "Oui, ils ne sont pas très agressifs, mais on ne prend aucun risque". Visiblement irrité, un autre destinataire écrit à David Plouffe : "Je te rappelle que Macron a demandé à ses conseillers de parler à la DGCCRF, pour qu'ils soient moins ‘conservateurs' dans leur application de la loi [vis-à-vis d'Uber]. (...) Nous allons lister tous les exemples où son ministère contredit l'engagement de Macron à notre égard."

"Si on transmet la liste, les carottes sont cuites"

Pourquoi Uber dépense autant d'énergie à dissimuler ses données ? La réponse apparaît dans une série d'emails envoyés en février 2015 après un nouvel incident, cette fois en Inde : "Ce que nous avons fait [là-bas], c'est montrer que l'équipe locale était coopérative (...). Si elle était sollicitée pour fournir des informations, nous les coupions du système. C'était pratiquement impossible pour eux de faire sortir des informations, même s'ils le voulaient", écrit un collaborateur d'Uber. Pour Zac de Kievit, pas question de transmettre les données : "Si nous fournissons notre liste de chauffeurs, nous perdons notre 'réserve'. C'est beaucoup plus facile pour les impôts, les régulateurs et la police de terrifier [nos chauffeurs] et de les faire céder. Sans eux, on n'a pas de business. Pour être bien clair, je veux apparaître aussi coopératif que possible avec les autorités fiscales. Mais si on leur transmet la liste des chauffeurs, les carottes sont cuites."

Un mois après, Uber se laisse pourtant surprendre. Le 12 mars 2015, une perquisition a lieu à Bruxelles et les enquêteurs vont trop vite pour que l'alerte soit donnée. L'un des managers envoie un e-mail après la perquisition : "Ils sont arrivés sans prévenir et nous ont ordonné de nous écarter sans rien toucher. Ils étaient bien préparés : huit agents pour nous surveiller et une équipe entière d'experts techniques pour accéder aux ordinateurs. Ils ont réussi à entrer dans le mien et ils ont fait une copie. Je n'ai aucune idée de ce qu'ils ont pu récupérer !" L'auteur de l'e-mail cite les noms de trois personnes dont les ordinateurs ont été saisis : "Il faut bloquer leurs comptes." Des échanges de messages ont lieu toute la journée. Dans l'un d'eux, le responsable informatique, Chris Cravens, suggère de "verrouiller les machines" saisies par les enquêteurs. Une demi-heure après, c'est chose faite : "Le verrouillage a été initié (...). Ça ne fonctionnera que si les machines sont encore connectées à internet et en mesure de communiquer avec le serveur central ("management server"). Il est probable qu'elles ne soient plus sur internet."

Un manuel "anti-raid"

Cette perquisition provoque un électrochoc au sein d'Uber. Le soir-même, la directrice juridique Salle Yoo envoie des instructions aux équipes de Paris, Copenhague et Amsterdam, à appliquer "dès que possible", "à la lumière du raid à Bruxelles". Elle recommande d'installer un logiciel de chiffrage des données sur tous les ordinateurs (FileVault, fourni avec le système d'exploitation MacOS), et de réduire à 60 secondes la durée d'inactivité d'un ordinateur avant la déconnexion de l'utilisateur. La directrice juridique cite aussi une "Dawn Raid App" [une "application contre les descentes à l'aube"] reçue par le conseiller juridique d'Uber Zac de Kievit. Elle précise : "Il va vous l'envoyer. Pouvez-vous la tester et nous dire si vous pensez qu'il faut la distribuer plus largement ?"

Quatre jours plus tard, le 16 mars 2015, c'est au tour des bureaux d'Uber à Paris d'être perquisitionnés. Les agents interviennent dans le cadre d'une enquête ouverte par le parquet contre le service UberPop, qui met en relation des particuliers et des conducteurs non professionnels, et qui est interdit depuis le 1er janvier précédent. Cette descente intervient dans une période très tendue pour les responsables d'Uber : "Les probabilités d'un nouveau raid augmentent", écrit Zac de Kievit le 13 mars à propos des bureaux d'Amsterdam. "Nous avons ouvert un nouveau dépôt où nous avons transféré tous nos papiers. Nous avons établi une liste complète de ceux qui travaillent en dehors du bureau, pour être sûr que l'interrupteur informatique (‘IT kill') vise bien tout le monde et nous finalisons des instructions en cas de raid."

Un manuel en cas de raid matinal est bel et bien envoyé les jours suivants : "Conservez un minimum de documents sur votre ordinateur. Utilisez plutôt des stockages à distance pour les dossiers importants." Le manuel donne aussi des raccourcis clavier pour déconnecter rapidement sa session, mettre en veille, fermer les applications ou éteindre son ordinateur. En cas de perquisition, il explique la marche à suivre : "Mettez les contrôleurs dans une salle qui ne contient aucun dossier, ni accès informatique." Et il préconise de se montrer coopératif : " Donner des réponses incomplètes ou trompeuses pourrait être considérées comme un refus de coopérer avec l'enquête."

Des perquisitions à répétition

Comme Uber s'y attendait, la saison des visites continue. Le 26 mars 2015 à Amsterdam, le service UberPop est la cible du régulateur néerlandais. Des échanges internes laissent penser qu'Uber cherche alors à dissimuler ses données. "Zac [de Kievit] et moi étions en réunion avec l'autorité de la concurrence néerlandaise à La Haye quand 20-30 policiers et régulateurs sont arrivés à notre siège d'Amsterdam, écrit Mark MacGann, le lobbyiste d'Uber. Ils nous ont interrogés pendant six heures (...). Comme nous avions mis en place des procédures informatiques strictes, ils n'ont pas pu accéder aux données sur nos ordinateurs (...). Ils n'ont rien pu copier."

En même temps, dans sa communication externe, Uber présente une toute autre version : "Uber coopère avec l'enquête", affirme le directeur de la communication pour l'Europe Ben Novick, cité dans une dépêche de Reuters. Dans les échanges de textos et de mails divulgués, ce dernier mentionne pourtant bien qu'il faut que le personnel écrive sur des messageries personnelles, "car leurs adresses e-mail professionnelles sont maintenant inaccessibles". Uber a donc coupé l'informatique pour bloquer l'enquête tout en disant coopérer avec les enquêteurs.

Le 2 avril 2015 : nouveau coup de chaud à Amsterdam. Les enquêteurs sont de retour avec un mandat et la volonté de récupérer des données : "Activez le kill switch à Amsterdam aussi vite que possible s'il vous plaît", écrit dans un courriel Pierre-Dimitri Gore-Coty, le directeur d'Uber Europe. Six minutes plus tard le PDG Travis Kalanick, ajoute lui-même : "Activez le kill switch immédiatement… L'accès d'Amsterdam doit être coupé." "Mon ordinateur portable vient de s'éteindre après s'être comporté bizarrement", réagit un salarié 21 minutes après le premier mail. "C'est normal", lui répond un des dirigeants dans un autre échange.

Cette fois-ci cependant, l'arrêt de l'informatique n'est pas du goût des enquêteurs. Ils interpellent un salarié et le retiennent pendant six heures. Quelques jours plus tard, le directeur juridique pour l'Europe Zac de Kievit revient sur l'événement : "Ils voulaient savoir si j'avais ordonné à quelqu'un de couper l'informatique. À la fin de l'interrogatoire, on m'a dit que j'étais poursuivi pour violation de l'article 184 du code pénal néerlandais (obstruction de la justice) et que l'affaire était transmise au procureur." Un autre e-mail d'un dirigeant d'Uber permet de penser que le PDG Travis Kalanick est nerveux à propos d'Amsterdam : "L'instruction limpide de Travis, c'est qu'il faut protéger Uber BV, ‘le vaisseau mère'." Uber BV est la filiale d'Uber enregistrée aux Pays-Bas, qui met en relation les chauffeurs et les clients (BV est l'équivalent de SARL en néerlandais).

Le 14 mai 2015, deux contrôles ont lieu à Montréal simultanément dans différents bureaux d'Uber. Là encore, les enquêteurs constatent que "les ordinateurs, les tablettes et les téléphones intelligents ont été redémarrés à distance" et à la même heure. Le directeur d'Uber Canada de l'époque, qui était présent ce jour-là, a reconnu auprès des enquêteurs qu'il avait prévenu le siège à San Francisco et qu'on lui avait dit que les données de Montréal avaient été chiffrées à distance. Ses propos sont confirmés l'année suivante devant la justice par un ex-employé d'Uber en Californie : Samuel Ward Spangenberg, alors en litige suite à son licenciement. Il affirme qu'il était d'usage chez Uber, lors des descentes de police ou du gouvernement, de "verrouiller le bureau et de couper immédiatement toute connectivité afin que les forces de l'ordre ne puissent pas accéder aux informations d'Uber... ce que j'ai fait lorsque le bureau d'Uber à Montréal a été perquisitionné".

Un SMS à Emmanuel Macron

Le 26 juin 2015, après un nouveau contrôle des bureaux de Paris concernant UberPop, deux hauts-responsables d'Uber sont placés en détention pendant quelques heures : Thibaud Simphal (directeur d'Uber France) et Pierre-Dimitri Gore-Coty (directeur d'Uber Europe). Le premier affirmait sur franceinfo le matin-même qu'Uber "respectait la loi et le droit, les décisions de justice". Le 6 juillet cependant, Mark MacGann lui demande à propos d'un nouveau contrôle en cours : "Les outils sont coupés à Paris, donc les SMS sont la seule façon de communiquer ?" Et Thibaud Simphal lui répond : "iMessage et WhatsApp, oui", ajoutant quelques minutes plus tard : "Ils nous demandent d'accéder à tous les ordinateurs pour récupérer les données." Réponse de Mark MacGann : "Inspire-toi du jeu d'acteur de Zachary de Kievit [le directeur juridique d'Uber]. Essaie quelques ordinateurs. Apparais surpris quand ça ne marche pas, dis que l'équipe informatique à San Francisco dort profondément (...)." Ce qui fait sourire Thibaud Simphal. "Ah oui, on a utilisé ce jeu d'acteur tellement de fois que la partie la plus difficile, c'est de continuer à paraître surpris !"

>> Uber Files : comment Emmanuel Macron s'est impliqué lors de l'arrivée du géant des VTC en France

Sept minutes plus tard cependant, l'ambiance change. Le même Thibaud Simphal se rend compte que l'ordinateur portable de Pierre-Dimitri Gore-Coty n'est pas éteint : "Merde, apparemment, le portable de Pierre n'a pas été KS [kill switch]. (...) Notez qu'ils viennent de menacer Alex Molla, dont l'ordinateur est verrouillé, de détention immédiate s'il ne déverrouille pas ou qu'il ne fournit pas de données." Interrogé sur ces faits par la cellule investigation de Radio France, Alexandre Molla dit aujourd'hui ne pas se souvenir de consignes ou d'outils visant à bloquer l'accès aux données pendant une perquisition. "Les ordinateurs étaient protégés en cas de perte ou de vol, pour éviter que les données soient accessibles à n'importe qui, mais à chaque fois où il y a eu des réquisitions pour des données très précises, on a répondu aux enquêteurs", assure désormais celui qui était en charge de l'extension d'Uber dans de nouvelles villes françaises et suisses.

Lors de la perquisition parisienne, Mark MacGann envoie deux SMS, à Alexis Kohler (alors directeur de cabinet du ministre de l'Économie), puis à Emmanuel Macron (alors ministre de l'Économie) : "Désolé de vous embêter, mais descente en ce moment d'une vingtaine de fonctionnaires de la direction des finances publiques (Budget). Nous avions l'espoir de pouvoir atteindre le fameux climat d'apaisement dès ce week-end." Il ne recevra aucune réponse.

"Ces logiciels n'auraient jamais dû être utilisés"

Uber débranchera de nouveau son système informatique à plusieurs reprises en 2015 : à Budapest le 14 août, à Amsterdam le 26 septembre, à Paris le 13 octobre et en Roumanie le 22 décembre… Une pratique devenue routinière à l'époque mais qui selon la société aurait été abandonnée. "Uber ne dispose pas d'un ‘coupe-circuit' (kill switch) conçu pour déjouer les enquêtes réglementaires à travers le monde, et ce depuis que Dara Khosrowshahi est devenu PDG d'Uber en août 2017, nous a-t-on précisé. Au contraire, les autorités font régulièrement des demandes d'informations auxquelles nous coopérons". Mais la multinationale précise : "Bien que, comme de nombreuses entreprises, nous disposions de logiciels destinés à protéger à distance les appareils de l'entreprise (par exemple, si un employé perd son ordinateur portable), ces logiciels n'auraient jamais dû être utilisés pour contrecarrer des actions réglementaires légitimes. Nous ne contestons pas le fait que ce type de logiciel ait pu être utilisé en France. Comme nous l'avons dit à plusieurs reprises, il n'aurait jamais dû être utilisé de la manière dont il l'a été."

La direction d'Uber fait donc son mea culpa, mais en chargeant l'ancienne équipe dirigée par Travis Kalanick, qui a quitté l'entreprise en 2017. "À chaque fois que j'ai été personnellement impliqué dans des activités de ‘kill switch', j'ai agi sur les ordres express de ma direction à San Francisco", déclare aujourd'hui Mark MacGann. Travis Kalanick, lui, n'a pas répondu directement aux questions de l'ICIJ mais a envoyé une lettre signée de ses avocats dans laquelle ils précisent que leur client n'a jamais été condamné pour obstruction de la justice dans aucun des pays cités dans la présente enquête journalistique, et que les outils numériques utilisés par Uber n'étaient conçus que pour protéger les données.

L'ancien patron d'Uber a également répondu via sa porte-parole Devon Sturgeon qui écrit : "Travis Kalanick n'a jamais autorisé aucune action ni programme qui auraient fait obstruction à la justice dans quel pays que ce soit." Sur la question spécifique du "kill switch", sa porte-parole a répondu ceci : "Uber, comme la plupart des autres entreprises opérant à l'étranger, a utilisé des outils qui protègent la propriété intellectuelle et la vie privée de ses clients, et garantissent le respect des droits en cas de raid extrajudiciaire ["raid" est le terme anglais qui désigne ce qu'on traduit en français par perquisition, contrôle ou descente]. Il s'agit d'une pratique commerciale courante qui n'a pas été conçue ou mise en œuvre pour ‘faire obstruction à la justice'. Ces protocoles de sécurité ne suppriment aucune donnée ou information et toutes les décisions relatives à leur utilisation ont été prises par les services juridiques et réglementaires d'Uber, qui les ont examinées et approuvées. Par ailleurs, M. Kalanick n'a pas créé, dirigé ou supervisé ces systèmes mis en place par les services juridiques et de conformité et n'a jamais été inculpé dans aucune juridiction pour obstruction à la justice ou tout autre délit connexe."

Et s'il est vrai qu'en France, Uber n'a jamais été poursuivi pour ces faits, on peut cependant se demander s'il n'aurait pas pu l'être. Un ex-juge d'instruction du pôle national financier que nous avons consulté considère que le "kill switch" pourrait relever de l'article 434-4 du code pénal. "Cela peut tomber sous le coup de la loi si on arrive à démontrer l'intention de procéder à une soustraction de preuve", affirme également Sophie Sontag Koenig, maîtresse de conférence en droit à l'université Paris Nanterre et spécialiste des questions numériques. Le même juge cite également le "délit d'opposition à fonction" qui existe dans le code de la consommation, article 512-4, et dans le code de commerce, article 450-9. Mais pour poursuivre, encore faut-il caractériser une infraction, et donc savoir que l'on a été berné. Or si les Uber Files révèlent l'existence du "kill switch", ils montrent aussi que son activation se faisait dans le plus grand secret.