Qu’est-ce qui vient juste de se passer? Dans ce qui est considéré comme une première, un dirigeant d’une entreprise a été reconnu coupable d’accusations liées à la dissimulation d’un piratage. Joe Sullivan, l’ancien responsable de la sécurité d’Uber, a autorisé les paiements aux auteurs d’une violation de données en 2016 qui a vu les données personnelles de 50 millions de clients Uber et de 7 millions de chauffeurs volés.
Le Washington Post rapports qu’un jury a déclaré Sullivan – un ancien procureur des cybercrimes pour le bureau du procureur américain de San Francisco – coupable d’entrave à la justice pour ne pas avoir révélé la violation du 26 octobre 2016 à la FTC ; les entreprises sont tenues de divulguer les violations de données en vertu des lois étatiques et fédérales. Il a également été reconnu coupable d’avoir activement caché un crime ou une erreur de prise en charge.
Les pirates ont envoyé un e-mail anonyme à Uber en 2016, l’informant qu’ils avaient accédé au stockage Amazon Web Services (AWS) de l’entreprise et téléchargé des quantités de données, qui comprenaient des noms, des adresses e-mail et des numéros de téléphone, ainsi que 600 000 numéros de permis de conduire américains. Il est apparu plus tard qu’ils y étaient parvenus en accédant à un site de codage GitHub privé utilisé par les ingénieurs logiciels d’Uber et en utilisant les identifiants de connexion qu’ils y avaient obtenus.
Les pirates ont été dirigés vers le programme de primes aux bogues d’Uber, mais sa récompense maximale de 10 000 $ n’a pas satisfait les criminels, qui voulaient une somme à six chiffres en échange de la suppression des informations volées et du silence sur l’incident. Déjà sous enquête de la FTC sur une violation similaire en 2014, Uber a accepté un paiement de 100 000 $ en Bitcoin sous prétexte qu’il s’agissait d’un paiement de prime de bogue. Les deux pirates ont ensuite été arrêtés et ont plaidé coupables à des accusations de piratage.
Le piratage n’est devenu public qu’en novembre 2017 lorsque le nouveau PDG Dara Khosrowshahi l’a révélé et a renvoyé Sullivan. Les procureurs affirment que Sullivan a caché la violation pour protéger sa réputation.
« Sullivan s’est efforcé de cacher la violation de données à la Federal Trade Commission et a pris des mesures pour empêcher les pirates de se faire prendre », a déclaré Stephanie Hinds, avocate américaine à San Francisco, dans un e-mail à Bloomberg. « Nous ne tolérerons pas la dissimulation d’informations importantes au public par des dirigeants d’entreprise plus soucieux de protéger leur réputation et celle de leurs employeurs que de protéger les utilisateurs. »
Sullivan risque jusqu’à huit ans de prison, mais il serait susceptible de recevoir une peine beaucoup plus courte.
Uber a confirmé avoir subi une autre violation de données le mois dernier qui aurait pu être aussi grave ou pire que l’incident de 2016. Elle a été réalisée par le même hacker de 18 ans à l’origine de la fuite de GTA 6, qui a depuis été arrêté.