Qu’est-ce qui vient juste de se passer? Dans ce qui est considéré comme une première, un dirigeant d’une entreprise a été reconnu coupable d’accusations liées à la dissimulation d’un piratage. Joe Sullivan, l’ancien responsable de la sécurité d’Uber, a autorisé les paiements aux auteurs d’une violation de données en 2016 qui a vu les données personnelles de 50 millions de clients Uber et de 7 millions de chauffeurs volés.
Le Washington Post rapports qu’un jury a déclaré Sullivan – un ancien procureur des cybercrimes pour le bureau du procureur américain de San Francisco – coupable d’entrave à la justice pour ne pas avoir révélé la violation du 26 octobre 2016 à la FTC ; les entreprises sont tenues de divulguer les violations de données en vertu des lois étatiques et fédérales. Il a également été reconnu coupable d’avoir activement caché un crime ou une erreur de prise en charge.
Les pirates ont envoyé un e-mail anonyme à Uber en 2016, l’informant qu’ils avaient accédé au stockage Amazon Web Services (AWS) de l’entreprise et téléchargé des quantités de données, qui comprenaient des noms, des adresses e-mail et des numéros de téléphone, ainsi que 600 000 numéros de permis de conduire américains. Il est apparu plus tard qu’ils y étaient parvenus en accédant à un site de codage GitHub privé utilisé par les ingénieurs logiciels d’Uber et en utilisant les identifiants de connexion qu’ils y avaient obtenus.
Les pirates ont été dirigés vers le programme de primes aux bogues d’Uber, mais sa récompense maximale de 10 000 $ n’a pas satisfait les criminels, qui voulaient une somme à six chiffres en échange de la suppression des informations volées et du silence sur l’incident. Déjà sous enquête de la FTC sur une violation similaire en 2014, Uber a accepté un paiement de 100 000 $ en Bitcoin sous prétexte qu’il s’agissait d’un paiement de prime de bogue. Les deux pirates ont ensuite été arrêtés et ont plaidé coupables à des accusations de piratage.
Le piratage n’est devenu public qu’en novembre 2017 lorsque le nouveau PDG Dara Khosrowshahi l’a révélé et a renvoyé Sullivan. Les procureurs affirment que Sullivan a caché la violation pour protéger sa réputation.
“Sullivan s’est efforcé de cacher la violation de données à la Federal Trade Commission et a pris des mesures pour empêcher les pirates de se faire prendre”, a déclaré Stephanie Hinds, avocate américaine à San Francisco, dans un e-mail à Bloomberg. “Nous ne tolérerons pas la dissimulation d’informations importantes au public par des dirigeants d’entreprise plus soucieux de protéger leur réputation et celle de leurs employeurs que de protéger les utilisateurs.”
Sullivan risque jusqu’à huit ans de prison, mais il serait susceptible de recevoir une peine beaucoup plus courte.
Uber a confirmé avoir subi une autre violation de données le mois dernier qui aurait pu être aussi grave ou pire que l’incident de 2016. Elle a été réalisée par le même hacker de 18 ans à l’origine de la fuite de GTA 6, qui a depuis été arrêté.