histats

Le patron d’Uber cache une infraction coupable

Le patron d’Uber cache une infraction coupable

Le jury déclare l’ancien chef de la sécurité d’Uber coupable d’entrave criminelle pour avoir omis de signaler une violation massive de données en 2016

Le bras long de la justice a finalement rattrapé un ancien chef de la cybersécurité, après qu’il a été reconnu coupable d’avoir dissimulé une importante violation de données chez Uber.

La violation en question a eu lieu en 2016 et le procès de l’ancien chef de la sécurité d’Uber Technologies, Joseph Sullivan, a commencé le mois dernier, après avoir été accusé en 2020 d’avoir dissimulé la violation controversée des données.

Le ministère américain de la Justice a confirmé que Joseph Sullivan avait été reconnu coupable « d’entrave à la procédure de la Federal Trade Commission (FTC) et de crime d’emprisonnement abusif (c’est-à-dire, dissimulation sciemment d’un crime).

Uber

Verdict de culpabilité

Le verdict de culpabilité a suivi un procès de quatre semaines à San Francisco.

En juillet, Uber a reconnu sa responsabilité d’avoir dissimulé la violation et a accepté de coopérer avec l’accusation de Sullivan, dans le cadre d’un accord avec les procureurs américains pour éviter des poursuites pénales.

Sullivan avait été licencié d’Uber en 2017 pour cette affaire, et le juge chargé du procès n’a pas encore fixé de date de condamnation.

Cependant, le DoJ a déclaré que Sullivan encourt un maximum de cinq ans de prison pour l’accusation d’entrave et un maximum de trois ans de prison pour l’accusation de faux emprisonnement.

“Les entreprises technologiques du district nord de la Californie collectent et stockent de grandes quantités de données d’utilisateurs”, a noté l’avocat américain Hinds. “Nous attendons de ces entreprises qu’elles protègent ces données et informent les clients et les autorités compétentes lorsque ces données sont volées par des pirates.”

See also  Les pirates de l'Iran à l'Ukraine ont eu une semaine chargée

“Sullivan s’est efforcé de dissimuler la violation de données à la Federal Trade Commission et a pris des mesures pour empêcher les pirates d’être arrêtés”, a déclaré Hinds. “Nous ne tolérerons pas que des informations importantes soient cachées au public par des chefs d’entreprise qui sont plus intéressés à protéger leur réputation et celle de leurs employeurs qu’à protéger les utilisateurs. Lorsqu’une telle conduite viole la loi fédérale, elle sera poursuivie.”

“Le message du verdict de culpabilité d’aujourd’hui est clair : les entreprises qui stockent les données de leurs clients ont la responsabilité de protéger ces données et de faire ce qu’il faut en cas de violation”, a déclaré l’agent spécial du FBI, Tripp. “Le FBI et nos partenaires gouvernementaux ne permettront pas à des cadres technologiques voyous de mettre en danger les informations personnelles des consommateurs américains pour leur propre profit.”

L’affaire a été suivie de près car elle crée un précédent important concernant la culpabilité de gestionnaires individuels face à des incidents de cybersécurité.

Ce problème est devenu de plus en plus important à une époque d’attaques de rançongiciels en cours, associées à l’augmentation des primes d’assurance pour la cybersécurité.

Infractions multiples

Il y a eu plusieurs violations de données chez Uber au cours des huit dernières années.

En 2015, il est apparu qu’Uber avait attendu cinq mois pour signaler qu’il avait été piraté en septembre 2014, divulguant les coordonnées de centaines de ses chauffeurs en ligne.

Les numéros de sécurité sociale, les images des permis de conduire et les numéros d’immatriculation des véhicules figuraient parmi les détails exposés accidentellement, avec pas moins de 647 conducteurs qui auraient été touchés à travers les États-Unis.

See also  Pas vos clés, pas votre crypto

Mais bien pire devait suivre en 2016, quand Uber a de nouveau dissimulé une violation de données qui a exposé les données de 57 millions de clients et de chauffeurs.

Le piratage de 2016 n’a entraîné le vol d’aucun détail financier ou dossier de voyage par le pirate, mais les attaquants ont reçu 100 000 $ en bitcoins pour supprimer les fichiers. Cela dit, certaines informations personnelles ont été volées et il n’y avait aucune garantie que les données aient été effectivement détruites.

Pour aggraver les choses, Uber a en fait utilisé son programme “bug bounty” (généralement utilisé pour identifier les petites vulnérabilités de code), pour payer les pirates (dont l’un serait un homme non identifié de 20 ans en Floride).

Uber était au courant de l’incident en novembre 2017, après que le PDG nouvellement installé, Dara Khosrowshahi, eut pris connaissance de l’infraction, après avoir récemment rejoint l’entreprise.

Lire la suite: À quoi pensait Uber ?

L’admission de Khosrowshahi en 2017 selon laquelle Uber n’avait pas divulgué la violation pendant plus d’un an a conduit à une enquête des autorités européennes.

Le bureau du commissaire à l’information du Royaume-Uni (ICO) a infligé une amende de 385 000 livres (490 760 dollars), tandis que l’autorité néerlandaise de protection des données (DPA) a infligé une amende de 600 000 euros à Uber (678 780 dollars).

En septembre 2018, Uber a accepté de payer 148 millions de dollars pour régler une action en justice concernant l’attaque.

Dernière infraction

Mais ce n’était pas la fin des incidents de sécurité au sein de l’entreprise.

See also  5 applications utiles que vous devez connaître

Le mois dernier (en septembre 2022), Uber a confirmé qu’ils “répondaient à un incident de cybersécurité”.

La confirmation est intervenue après que le New York Times eut signalé qu’un piratage avait eu accès au réseau de l’entreprise et l’avait obligée à mettre hors ligne plusieurs systèmes de communication et d’ingénierie internes.

Selon le New York Times, le pirate de 18 ans a compromis l’application de messagerie en milieu de travail Slack et l’a utilisée pour envoyer un message aux employés d’Uber annonçant qu’elle avait fait l’objet d’une violation de données.

Des captures d’écran semblant montrer les systèmes internes piratés d’Uber ont fait surface sur Twitter.

Le pirate a pu accéder à d’autres systèmes internes de l’entreprise en publiant une image explicite sur une page d’informations interne des employés, selon le New York Times.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *