L’ancien responsable de la sécurité des systèmes d’information (RSSI) d’Uber Technologies, Joe Sullivan, a été reconnu coupable par un jury d’avoir dissimulé une violation de données de 2016 à la Federal Trade Commission des États-Unis.
Bloomberg News a rapporté que le jury de San Francisco avait rejeté sa défense selon laquelle d’autres dirigeants étaient au courant de la dissimulation et en étaient responsables, le condamnant pour obstruction à une enquête gouvernementale et dissimulation du vol de données personnelles de 50 millions de clients et 7 millions de conducteurs. Cela comprenait plus de 800 000 Canadiens.
Sullivan a été accusé d’avoir discrètement fait en sorte qu’Uber paie 100 000 dollars américains en bitcoins aux pirates pour supprimer les données volées, sous le couvert d’un programme utilisé pour récompenser les chercheurs en sécurité pour l’identification des vulnérabilités, connu sous le nom de « prime au bogue », selon le reportage. En retour, les deux pirates ont accepté de ne pas divulguer qu’ils avaient volé les données. Les pirates ont par la suite plaidé coupables pour leur rôle dans l’incident.
Le piratage d’octobre 2016 est demeuré secret jusqu’en novembre 2017, date à laquelle il a été révélé par le nouveau président directeur-général (PDG), Dara Khosrowshahi.
L’accusation a noté que Sullivan avait envoyé un courriel au PDG d’Uber à propos de ce piratage 12 heures après sa découverte.
Depuis, l’incident hante Uber. En 2018, la société a versé 148 millions de dollars dans le cadre d’un règlement civil aux 50 États et à Washington DC pour la dissimulation.
Par ailleurs, en juillet, Uber a conclu un accord de non-poursuite avec les procureurs fédéraux pour résoudre une enquête criminelle selon laquelle la société de covoiturage aurait trompé les consommateurs sur ses pratiques en matière de confidentialité et de sécurité des données.
La peine de Sullivan pour la condamnation de mercredi sera déterminée à une date ultérieure.
Dans un commentaire, David Lindner, RSSI chez Contrast Security, a déclaré que cette situation était extrêmement malheureuse pour Uber et les communautés juridiques/de sécurité au sens large. « Ce qu’Uber a fait, c’est dissimuler une brèche en la cachant comme une soumission de prime de bogue », a-t-il déclaré dans un communiqué. « La condamnation du chef de la sécurité est un bon début, mais pour ce qui a été divulgué, il devrait y avoir encore plus de responsabilité des dirigeants et même des membres du conseil d’administration. »
« La transparence est la seule voie à suivre pour les organisations. Transparence des violations, transparence des vulnérabilités connues et transparence des composants utilisés pour construire leur logiciel. Uber n’a pas réussi à être transparent et cela s’est traduit non seulement par une amende mais aussi par la condamnation de la personne derrière les décisions. Nous en verrons davantage si nous ne passons pas rapidement à la transparence. »
Adaptation et traduction française par Renaud Larue-Langlois.
