L’ancien patron d’Uber reconnu coupable d’avoir dissimulé du piratage
Un ancien dirigeant d’Uber a été reconnu coupable d’avoir fait obstruction à une enquête de la Federal Trade Commission (FTC) concernant deux piratages de l’entreprise qui se sont produits en 2014 et 2016.
Un jury a déclaré Joe Sullivan coupable d’entrave à la procédure de la FTC et de crime de faux emprisonnement, qui prend des mesures pour dissimuler un crime aux autorités, mercredi après un procès de quatre semaines.
Sullivan a été embauché en tant que directeur de la sécurité d’Uber en 2015 tandis que la FTC enquêtait sur la violation de données de 2014 au cours de laquelle des pirates ont obtenu les informations personnelles d’environ 50 000 clients, y compris les noms et les numéros de permis de conduire.
Sullivan a supervisé la réponse d’Uber aux questions de la FTC, a participé à une présentation à l’agence en mars 2016 et a témoigné sous serment devant la FTC en novembre au sujet des pratiques de sécurité des données de l’entreprise, selon un communiqué du ministère de la Justice (DOJ). Il a mentionné les mesures qu’il avait prises pour sécuriser les données des clients lors du témoignage.
Le communiqué indique que Sullivan a appris qu’Uber avait de nouveau été piraté 10 jours après son témoignage. Les pirates ont contacté Sullivan directement par e-mail et lui ont dit qu’ils avaient volé des quantités importantes de données d’utilisateurs et ont exigé une forte rançon pour supprimer les données.
Les données obtenues par les pirates concernaient environ 57 millions d’utilisateurs et comprenaient environ 600 000 numéros de permis de conduire.
Les procureurs ont allégué que Sullivan avait mis en place un stratagème pour tenir la FTC au courant de la violation et n’avait pas informé les utilisateurs d’Uber.
Le communiqué du DOJ indique que Sullivan a dit à un subordonné qu’il ne pouvait pas laisser « cela sortir » et que les informations relatives à la violation devaient être « étroitement surveillées ».
Sullivan s’est arrangé pour payer les deux pirates en échange de leur accord pour signer des accords de non-divulgation promettant de ne pas divulguer publiquement le piratage. Uber leur a finalement versé 100 000 $ en bitcoins en décembre 2016 et les a forcés à signer des accords de non-divulgation mis à jour après avoir appris leurs vrais noms en janvier 2017.
Sullivan a continué à coopérer avec les avocats d’Uber chargés de l’enquête de la FTC et ne leur a jamais parlé de la deuxième infraction.
Uber a conclu un accord de principe avec la FTC en 2016, que Sullivan a soutenu, sans informer la FTC du piratage de 2016.
Les nouveaux dirigeants d’Uber ont commencé à enquêter sur le piratage de 2016 à l’automne 2017, et Sullivan a menti au PDG en disant que la société n’avait payé les pirates qu’après leur identification et a menti aux avocats externes de la société qui ont mené une enquête indépendante, selon le DOJ.
La direction d’Uber a finalement appris la vérité sur l’infraction et l’a divulguée publiquement, en l’indiquant à la FTC en novembre 2017.
Les deux hackers ont été poursuivis et ont plaidé coupable en octobre 2019 à des accusations de fraude informatique.
“Sullivan s’est efforcé de cacher la violation de données à la Federal Trade Commission et a pris des mesures pour empêcher les pirates de se faire prendre”, a déclaré l’avocate américaine Stephanie Hinds. “Nous ne tolérerons pas que des dirigeants d’entreprise ne divulguent pas au public des informations importantes qui sont plus soucieux de protéger leur réputation et celle de leurs employeurs que de protéger les utilisateurs.”
Le Washington Post a rapporté que l’avocat de Sullivan, David Angeli, avait déclaré au jury que Sullivan dirigeait une équipe qui travaillait “sans relâche” pour protéger les clients d’Uber. Il a déclaré que le monde réel fonctionnait différemment des politiques des manuels d’entreprise, et que l’objectif de Sullivan était de s’assurer que les données personnelles des gens étaient en sécurité en ligne.
