L’ancien chef de la sécurité d’Uber coupable de dissimulation de violation de données
L’ancien responsable de la sécurité d’Uber a été reconnu coupable mercredi d’avoir tenté de dissimuler une violation de données de 2016 au cours de laquelle des pirates ont accédé à des dizaines de millions de dossiers de clients du service de covoiturage.
Un jury fédéral à San Francisco a reconnu Joseph Sullivan coupable d’obstruction à la justice et de dissimulation de la connaissance qu’un crime fédéral avait été commis, ont déclaré les procureurs fédéraux.
Sullivan reste en liberté sous caution dans l’attente de la sentence et pourrait faire face à un total de huit ans de prison pour les deux accusations lorsqu’il sera condamné, ont déclaré les procureurs.
« Les entreprises technologiques du district nord de la Californie collectent et stockent de grandes quantités de données provenant des utilisateurs », a déclaré Stephanie M. Hinds, procureur des États-Unis, dans un communiqué. « Nous ne tolérerons pas la dissimulation d’informations importantes au public par des dirigeants d’entreprise plus intéressés par la protection de leur réputation et de celle de leurs employeurs que par la protection des utilisateurs. »
Il s’agirait de la première poursuite pénale d’un dirigeant d’entreprise pour une violation de données.
Un avocat de Sullivan, David Angeli, a contesté le verdict.
« L’unique objectif de M. Sullivan – dans cet incident et tout au long de sa brillante carrière – a été d’assurer la sécurité des données personnelles des personnes sur Internet », a déclaré M. Angeli au New York Times.
Un courriel à Uber demandant des commentaires sur la condamnation n’a pas été retourné immédiatement.
Sullivan a été embauché en tant que responsable de la sécurité d’Uber en 2015. En novembre 2016, des pirates informatiques ont envoyé un courriel à Sullivan, et les employés ont rapidement confirmé qu’ils avaient volé des dossiers sur environ 57 millions d’utilisateurs et également 600 000 numéros de permis de conduire, selon les procureurs.
Après avoir appris la brèche, Sullivan a commencé à mettre en place un plan pour la cacher au public et à la Federal Trade Commission, qui avait enquêté sur un piratage plus petit de 2014, ont déclaré les autorités.
Selon le bureau du procureur des États-Unis, Sullivan a dit à ses subordonnés que « l’histoire en dehors du groupe de sécurité devait être que « cette enquête n’existe pas » » et a fait en sorte de payer les pirates 100 000 $ en bitcoins en échange de la signature d’accords de non-divulgation promettant de ne pas révéler le piratage. Il n’a également jamais mentionné la violation aux avocats d’Uber qui étaient impliqués dans l’enquête de la FTC, selon les procureurs.
« Sullivan a orchestré ces actes tout en sachant que les pirates pirataient et extorquaient d’autres sociétés ainsi qu’Uber », a déclaré le bureau du procureur des États-Unis.
La nouvelle direction d’Uber a commencé à enquêter sur la brèche à l’automne 2017. Bien que Sullivan ait menti au nouveau directeur général et à d’autres personnes, la vérité a été découverte et la brèche a été rendue publique, ont déclaré les procureurs.
Sullivan a été licencié ainsi que Craig Clark, un avocat d’Uber à qui il avait parlé de la brèche. Clark a reçu l’immunité des procureurs et a témoigné contre Sullivan.
Aucun autre dirigeant d’Uber n’a été accusé dans cette affaire.
Les pirates informatiques ont plaidé coupable en 2019 à des accusations de complot de fraude informatique et attendent leur sentence.
Sullivan a été reconnu coupable d’obstruction aux procédures de la Federal Trade Commission et de misprision of felony, c’est-à-dire de dissimulation de la connaissance d’un crime aux autorités.
Entre-temps, certains experts ont remis en question l’amélioration de la cybersécurité chez Uber depuis la brèche.
La société a annoncé le mois dernier que tous ses services étaient opérationnels après ce que les professionnels de la sécurité ont appelé une violation majeure des données, affirmant qu’il n’y avait aucune preuve que le pirate ait eu accès aux données sensibles des utilisateurs.
Le pirate solitaire a apparemment obtenu l’accès en se faisant passer pour un collègue, incitant un employé d’Uber à lui remettre ses informations d’identification. Les captures d’écran que le pirate a partagées avec les chercheurs en sécurité indiquent qu’il a obtenu un accès complet aux systèmes basés sur le cloud où Uber stocke les données sensibles des clients et les données financières.
On ne sait pas combien de données le pirate a volé ni combien de temps il est resté dans le réseau d’Uber. Il n’y a aucune indication qu’ils aient détruit des données.