Un jury de la Cour fédérale américaine a trouvé l’ancien directeur de la sécurité d’Uber Joseph Sullivan coupable d’avoir omis de divulguer aux autorités de réglementation une violation des dossiers des clients et des conducteurs en 2016 et d’avoir tenté de dissimuler l’incident.
Sullivan est reconnu coupable de deux chefs d’accusation : un pour entrave à la justice en omettant de signaler l’incident et un autre pour faux emprisonnement. Il encourt un maximum de cinq ans de prison pour l’accusation d’entrave, et un maximum de trois ans pour cette dernière.
“Les entreprises technologiques du district nord de la Californie collectent et stockent de grandes quantités de données d’utilisateurs”, a déclaré l’avocate américaine Stephanie M. Hinds dans un communiqué de presse.
“Nous attendons de ces entreprises qu’elles protègent ces données et informent les clients et les autorités compétentes lorsque ces données sont volées par des pirates. Sullivan s’est efforcé de dissimuler la violation de données à la Federal Trade Commission et a pris des mesures pour empêcher les pirates de se faire prendre.”
La violation d’Uber en 2016 s’est produite à la suite de l’accès non autorisé de deux pirates aux sauvegardes de la base de données de l’entreprise, ce qui a incité l’entreprise à payer secrètement une rançon de 100 000 $ en décembre 2016 en échange de la suppression des informations volées.
Uber a également fait signer aux extorqueurs un accord de non-divulgation dans le but d’annuler le piratage en récompense des bugs. Les sauvegardes contenaient des données appartenant à 50 millions de passagers Uber et à sept millions de chauffeurs.
Pour compliquer encore les choses, l’incident s’est produit alors que le ministère américain de la Justice et la Federal Trade Commission (FTC) enquêtaient déjà sur l’entreprise pour une autre violation de données survenue le 13 mai 2014.
En février 2015, Uber a révélé que l’une de ses bases de données avait fait l’objet d’un accès abusif à la suite d’une éventuelle compromission de l’une de ses clés de cryptage, entraînant l’exposition des noms et numéros de licence d’environ 50 000 chauffeurs. L’incident a été découvert le 14 septembre 2016.
“Après avoir trompé les consommateurs sur ses pratiques en matière de confidentialité et de sécurité, Uber a aggravé son inconduite en omettant d’informer la Commission qu’elle avait subi une autre violation de données en 2016 alors que la Commission enquêtait sur une violation étonnamment similaire de l’entreprise en 2014”, a noté la FTC en 2018.
Le DoJ a déclaré que Sullivan avait joué un rôle crucial dans l’élaboration de la réponse d’Uber à la FTC concernant la violation de 2014, dans laquelle le défendeur a témoigné sous serment le 4 novembre 2016, sur le nombre de mesures qu’il a affirmé que la société avait prises pour sécuriser les données des utilisateurs.
Mais lorsque l’agence a appris qu’Uber était à nouveau compromis, également à peine 10 jours après son témoignage à la FTC, l’agence a déclaré que “Sullivan a exécuté un plan pour empêcher la connaissance de la violation d’atteindre la FTC” au lieu de choisir de divulguer l’affaire aux autorités et ses utilisateurs.
Les procureurs fédéraux ont également accusé Sullivan d’avoir menti au PDG d’Uber, Dara Khosrowshahi, ainsi qu’aux avocats externes de l’entreprise qui ont enquêté sur l’incident en 2016, affirmant que la “vérité sur la violation” a finalement émergé en novembre 2017.
En outre, Travis Kalanick, co-fondateur et alors PDG d’Uber, qui a démissionné de l’entreprise en juin 2017, aurait approuvé la stratégie de Sullivan pour gérer l’intrusion non autorisée. Kalanick n’a pas été inculpé.
Dans une déclaration partagée avec le New York Times, l’équipe juridique de Sullivan a déclaré que son seul objectif pendant l’incident et sa carrière professionnelle était d’assurer “la sécurité des données personnelles des personnes sur Internet”.
Cette évolution, qui marque la première fois qu’un cadre supérieur d’une entreprise est inculpé pour violation de données, survient alors que les deux pirates informatiques impliqués dans l’incident de 2016 attendent leur condamnation pour complot en vue de frauder après avoir plaidé coupable du crime en octobre 2019.
“Les plaidoyers séparés déposés par les pirates montrent qu’après que Sullivan ait aidé à dissimuler le piratage d’Uber, les pirates ont pu commettre des intrusions supplémentaires dans une autre entité corporative – Lynda.com – et tenter de compromettre également ces données”, a souligné le DoJ. dehors.
Malgré le fait que les failles de sécurité de 2014 et 2016 se soient reflétées, Uber a été sous le feu des projecteurs le mois dernier pour les mauvaises raisons lorsque ses systèmes ont été piratés une troisième fois dans un piratage qu’il a depuis lié au groupe de cybercriminalité LAPSUS$.
En juillet dernier, Uber a également convenu avec le DoJ de payer 148 millions de dollars et a accepté de “mettre en œuvre un programme d’intégrité d’entreprise, des mesures spécifiques de sécurité des données et des plans de réponse aux incidents et aux violations de données, ainsi que des examens biennaux”.
“Le message du verdict de culpabilité d’aujourd’hui est clair : les entreprises qui stockent les données de leurs clients ont la responsabilité de protéger ces données et de faire ce qu’il faut en cas de violation”, a déclaré l’agent spécial responsable du FBI à San Francisco, Robert K. Tripp.
