histats

Joe Sullivan coupable dans une affaire de piratage d’Uber

Joe Sullivan coupable dans une affaire de piratage d’Uber

SAN FRANCISCO – Un ancien chef de la sécurité d’Uber a été reconnu coupable mercredi d’accusations fédérales découlant de paiements qu’il a discrètement autorisés à des pirates qui ont violé l’entreprise en 2016.

Joe Sullivan a été reconnu coupable d’entrave à la justice pour avoir caché la violation à la Federal Trade Commission, qui enquêtait sur la protection de la vie privée d’Uber à l’époque, et pour avoir activement dissimulé un crime.

Le verdict a mis fin à une affaire dramatique qui opposait Sullivan, un éminent expert en sécurité qui a été l’un des premiers procureurs de la cybercriminalité pour le bureau du procureur américain à San Francisco, à son ancien bureau gouvernemental. Entre poursuivre les pirates et être poursuivi, Sullivan a occupé le poste de directeur de la sécurité chez Facebook, Uber et Cloudflare.

Le juge William H. Orrick n’a pas fixé de date de condamnation. Sullivan peut faire appel si les requêtes postérieures au procès ne parviennent pas à annuler le verdict.

“Le seul objectif de M. Sullivan – dans cet incident et tout au long de sa brillante carrière – a été d’assurer la sécurité des données personnelles des personnes sur Internet”, a déclaré l’avocat de Sullivan, David Angeli, après que le jury de 12 membres a rendu son verdict unanime le quatrième jour. de délibération.

Même sans les antécédents professionnels de Sullivan, le procès aurait été considéré comme la première affaire pénale majeure contre un dirigeant d’entreprise pour une infraction extérieure.

C’est peut-être aussi l’un des derniers : au cours des cinq années qui ont suivi le licenciement de Sullivan, les paiements aux extorqueurs, y compris ceux qui volent des données sensibles, sont devenus si routiniers que certaines sociétés de sécurité et compagnies d’assurance se spécialisent dans le traitement des transactions.

« Payer des rançons est, je pense, plus courant qu’on ne le croit. C’est une attitude similaire à celle d’un pare-chocs, explique Michael Hamilton, fondateur de la société de sécurité Critical Insight.

Les responsables du FBI, tout en décourageant officiellement cette pratique, ont déclaré qu’ils ne poursuivraient pas les personnes et les entreprises qui paient la rançon si elles ne violent pas les sanctions qui interdisent les paiements à des groupes criminels nommés qui sont particulièrement proches du gouvernement russe.

De nouvelles exigences en matière de divulgation du piratage pourraient rendre le cyberespace moins opaque

«Cette affaire va certainement inciter les gestionnaires, les sauveteurs et toute autre personne impliquée dans la décision de payer ou de divulguer des rançons à réfléchir un peu plus à leurs obligations légales. Et ce n’est pas une mauvaise chose, déclare Brett Callow, qui fait des recherches sur les ransomwares à la société de sécurité Emsisoft. « Dans l’état actuel des choses, trop de choses se passent dans l’ombre, et ce manque de transparence peut saper les efforts de cybersécurité.

La plupart des membres du personnel de sécurité attendaient l’acquittement de Sullivan, notant qu’il avait tenu le PDG et d’autres personnes non inculpées informées de ce qui se passait.

“La responsabilité personnelle des décisions commerciales avec la contribution des parties prenantes de la direction est un nouveau territoire qui est quelque peu inexploré pour les responsables de la sécurité”, a déclaré Dave Shackleford, propriétaire de Voodoo Security. “Je crains que cela ne conduise à un manque d’intérêt pour notre domaine et à un scepticisme accru à propos de l’infosec en général.”

John Johnson, un responsable de la sécurité de l’information “virtuel” pour plusieurs entreprises, a accepté. “La direction de votre entreprise peut faire des choix qui peuvent avoir des conséquences très personnelles sur vous et votre style de vie”, a-t-il déclaré. “Cela ne veut pas dire que tout ce que Joe a fait était juste ou parfait, mais nous ne pouvons pas nous enterrer la tête et dire que cela ne nous arrivera jamais.”

See also  Un tracteur piraté met en lumière les préoccupations numériques

Les procureurs ont fait valoir dans le cas de Sullivan que son utilisation d’un accord de non-divulgation avec les pirates était la preuve qu’il avait participé à une dissimulation. Ils ont déclaré que la violation était un piratage suivi d’un chantage lorsque les pirates ont menacé de publier les données qu’ils avaient prises, et n’auraient donc pas dû se qualifier pour le programme de primes aux bogues d’Uber pour récompenser les chercheurs en sécurité amis.

Mais la réalité est qu’à mesure que le piratage des entreprises s’est aggravé, la façon dont les entreprises l’ont géré est allée bien au-delà de la lettre de la loi lorsque Sullivan a été accusé de l’avoir enfreinte.

Les primes de bogue nécessitent généralement la non-divulgation, dont certaines durent éternellement.

“Les programmes de primes aux bogues sont utilisés de manière abusive pour masquer des informations sur les vulnérabilités. Dans le cas d’Uber, ils ont été utilisés pour dissimuler une brèche”, a déclaré Katie Moussouris, qui a mis en place un programme de primes aux bogues chez Microsoft et dirige maintenant sa propre société de résolution des vulnérabilités, dans un interview.

L’affaire contre Sullivan a commencé lorsqu’un pirate a envoyé un e-mail anonyme à Uber et décrit une faille de sécurité qui lui a permis, ainsi qu’à un partenaire, de télécharger des données depuis l’un des entrepôts Amazon de l’entreprise. Il est apparu qu’ils avaient utilisé une clé numérique perdue qu’Uber avait laissée derrière eux pour accéder au compte Amazon, où ils ont trouvé et extrait une sauvegarde non cryptée des données de plus de 50 millions de passagers Uber et de 600 000 chauffeurs.

L’équipe de Sullivan les a dirigés contre le programme de primes d’Uber, notant que le paiement le plus élevé était de 10 000 $.Les pirates ont déclaré qu’ils auraient besoin de six chiffres et ont menacé de divulguer les données.

Une longue négociation s’est ensuivie qui s’est terminée par un paiement de 100 000 $ et une promesse des pirates qu’ils avaient détruit les données et ne révéleraient pas ce qu’ils avaient fait. Bien que cela ressemble à une dissimulation, des témoignages ont montré que le personnel de Sullivan a utilisé le processus pour obtenir des indices qui les conduiraient à la véritable identité des auteurs, ce qui, selon eux, était un levier nécessaire pour les tenir sur parole. Les deux ont ensuite été arrêtés et ont plaidé coupables à des accusations de piratage, et l’un a témoigné pour les procureurs lors du procès de Sullivan.

L’accusation d’entrave s’appuyait sur le fait qu’Uber, à l’époque, approchait de la fin d’une enquête de la Federal Trade Commission sur une violation majeure en 2014.

Une accusation de dissimulation active d’un crime, ou de faux emprisonnement, pourrait également s’appliquer à de nombreux dirigeants d’entreprise qui envoient des bitcoins à des pirates étrangers sans dire à personne d’autre ce qui s’est passé. Bien que le nombre de ces silences soit impossible à obtenir, il s’agit clairement d’un grand nombre. Sinon, les responsables fédéraux n’auraient pas fait pression pour une législation récente qui exigerait des alertes de ransomware des victimes d’infrastructures critiques à la Cybersecurity and Infrastructure Security Agency.

La Securities and Exchange Commission fait également pression pour plus de divulgation. La condamnation a stupéfié les responsables de la sécurité et de la conformité des entreprises et attirera leur attention sur les détails de ces règles.

See also  Les ponts de la blockchain tombent en eaux troubles

Ce que dit la SEC sur les divulgations de cybersécurité

L’affaire contre Sullivan était plus faible à certains égards que ce à quoi on pourrait s’attendre d’un procès visant à créer un précédent.

Alors qu’il dirigeait la réponse aux deux pirates, de nombreux autres membres de l’entreprise étaient au courant, y compris un avocat de l’équipe de Sullivan, Craig Clark. Les preuves ont montré que Sullivan avait informé le PDG d’Uber de l’époque, Travis Kalanick, quelques heures après avoir appris lui-même la menace, et que Kalanick avait approuvé la stratégie de Sullivan. Le conseiller en chef de la confidentialité de l’entreprise, qui a supervisé la réponse à la FTC, a été informé, et le chef de l’équipe de communication de l’entreprise a également eu des détails.

Clark, le directeur juridique désigné pour les violations, a obtenu l’immunité pour témoigner contre son ancien patron. En contre-interrogatoire, il a reconnu avoir informé l’équipe que l’attaque ne serait pas divulguée si les pirates étaient identifiés, a accepté de supprimer ce qu’ils avaient pris et a pu convaincre l’entreprise qu’ils n’avaient pas diffusé les données, ce qui s’est finalement produit. .

Les procureurs ont dû contester “si Joe Sullivan aurait pu croire cela”, comme l’a dit l’un d’eux dans ses plaidoiries vendredi.

L’avocat de Sullivan, Angeli, a déclaré que le monde réel fonctionnait différemment des idéaux de la prime aux bogues et des directives énoncées dans les manuels de l’entreprise.

“En fin de compte, M. Sullivan a dirigé une équipe qui a travaillé sans relâche pour protéger les clients d’Uber”, a déclaré Angeli au jury.

L’ère Kalanick a été une période d’expansion rapide et de scandale

Après que Kalanick ait été contraint de quitter l’entreprise pour des scandales sans rapport, son successeur, Dara Khosrowshahi, est intervenu et a appris la violation. Sullivan le lui a décrit comme un paiement de routine, ont déclaré les procureurs, expurgeant d’un e-mail la taille du paiement et le fait que les pirates avaient obtenu des données non cryptées, y compris des numéros de téléphone, de dizaines de millions de coureurs. Après qu’une enquête ultérieure ait révélé toute l’histoire, Khosrowshahi a témoigné qu’il avait renvoyé Sullivan pour ne pas lui en avoir dit plus tôt.

Désireux de montrer qu’ils opéraient dans une nouvelle ère, la société a aidé le bureau du procureur américain à monter un dossier contre Sullivan. Et les procureurs, à leur tour, ont poussé sans succès Sullivan à impliquer Kalanick, ce qui aurait été un prix bien plus important mais n’a pas été condamné par les preuves écrites survivantes, selon des personnes familières avec le processus.

Les primes de bogue n’ont jamais été destinées à offrir autant d’argent aux pirates que les criminels ou les gouvernements paieraient. Au lieu de cela, ils ont été conçus pour offrir de l’argent à ceux qui étaient déjà enclins à rester au-dessus du tableau.

Mais ce sont les entreprises qui paient la facture même lorsque les programmes sont gérés par des fournisseurs externes tels que HackerOne et Bugcrowd. Les différends entre les chercheurs qui signalent les failles de sécurité et les entreprises qui ont des failles sont désormais monnaie courante.

Les deux parties ne sont pas d’accord sur la question de savoir si un bogue était “dans la portée”, c’est-à-dire dans les domaines où la société a déclaré qu’elle voulait de l’aide. Ils diffèrent sur la valeur d’un bogue, ou s’il est sans valeur parce que d’autres l’ont déjà trouvé. Et ils diffèrent sur la façon dont, ou même si, le chercheur peut divulguer le travail après la correction du bogue ou si l’entreprise choisit de ne rien changer.

See also  10 Best Games Set in Paris

Les plateformes de primes ont des procédures d’arbitrage pour ces différends, mais comme les entreprises paient la facture, de nombreux pirates y voient un parti pris. Trop de protestations et ils sont complètement expulsés de la plate-forme.

“Si vous piratez un programme de primes aux bogues par amour du piratage et de l’amélioration de la sécurité, ce n’est pas la bonne raison, car vous n’avez aucun contrôle sur le fait qu’une entreprise décide de corriger à temps ou non”, a déclaré John Jackson. un chercheur qui a réduit les primes et vend maintenant des informations sur la vulnérabilité chaque fois qu’il le peut.

Casey Ellis, fondateur de Bugcrowd, a reconnu que certaines entreprises utilisent des programmes de primes pour atténuer les problèmes qui auraient dû être divulgués en vertu des réglementations nationales ou fédérales.

“C’est définitivement quelque chose qui se passe”, a déclaré Ellis.

Le nombre de rançongiciels semble baisser, mais cette nouvelle n’est peut-être pas aussi bonne qu’il n’y paraît

Les attaques de ransomwares étaient rares lorsque Sullivan a été inculpé et se sont considérablement développées dans les années qui ont suivi pour devenir une menace pour la sécurité nationale des États-Unis.

Les techniques de ces attaques ont également changé.

Au début de 2020, la plupart des ransomwares cryptaient simplement les fichiers et demandaient de l’argent pour la clé pour les déverrouiller. À la fin de cette année-là, la plupart des attaques de ransomwares incluaient le vol pur et simple de fichiers, créant une nouvelle demande de rançon pour empêcher la diffusion publique, selon un rapport de 2021 du Ransomware Task Force, un groupe dirigé par l’industrie qui comprend des représentants de l’US Cybersecurity and Infrastructure Security Agency, le FBI et les services secrets.

Récemment, les échanges de crypto-monnaie ont été volés puis négociés pour fournir des paiements massifs pour récupérer ces fonds, une pratique en roue libre qui ressemble peu aux primes traditionnelles.

“Surtout au cours des six derniers mois dans l’espace crypto, le modèle est” construisez-le jusqu’à ce que nous soyons piratés et nous le découvrirons à partir de là “”, a déclaré Ellis.

Alors que les paiements moyens dépassaient ceux de Sullivan, atteignant des centaines de milliers de dollars, de plus en plus d’entreprises se sont tournées vers les compagnies d’assurance pour plus de prévisibilité.

Mais souvent, les compagnies d’assurance pensaient qu’il était moins cher de payer que de couvrir les dommages causés par la perte de fichiers. Certains payaient régulièrement, assurant un revenu stable aux gangs.

Rendre les paiements illégaux, comme certains l’ont suggéré, ne les arrêterait pas réellement, a déclaré le FBI. Cela donnerait plutôt aux extorqueurs un autre club pour retenir les victimes une fois le paiement effectué.

Au moins jusqu’à présent, le Congrès a accepté d’interdire les transactions. Ce qui signifie que des offres comme celle de Sullivan continueront de se produire chaque semaine.

Seront-ils tous divulgués lorsque la loi de l’État ou les décrets de consentement fédéraux l’exigent ? Probablement pas.

Mais ne vous attendez pas à ce que ceux qui donnent l’alerte se retrouvent menottés.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *