L'ancien cadre supérieur d'Uber est accusé d'avoir dissimulé un piratage massif en 2016 qui a exposé les données de 57 millions de conducteurs et de passagers. Il a été licencié et fait maintenant face à des accusations criminelles. Selon les procureurs fédéraux, au lieu d’informer les régulateurs américains lorsqu’il a appris que des pirates informatiques avaient volé d'énormes quantités de données à Uber, Joe Sullivan, l'ancien chef de la sécurité de la société, a couvert la violation de données en organisant un paiement de 100 000 dollars aux cybercriminels responsables de l'attaque.Lorsque Joe Sullivan a appris que des pirates informatiques avaient volé d'énormes quantités de données à Uber, il n'en a pas informé les régulateurs, les forces de l'ordre ou le public. Au lieu de cela, les procureurs fédéraux prétendent que le chef de la sécurité d'Uber a essayé de le cacher. Ils accusent l’ancien assistant du procureur américain dans le district nord de la Californie d’avoir pris « des mesures délibérées » pour empêcher la Commission fédérale du commerce d'apprendre l'existence du piratage alors que l'agence surveillait la sécurité d'Uber à la suite d'une infraction antérieure.
Les procureurs accusent Joe Sullivan d'obstruction à la justice et de dissimulation d'un crime pour la prétendue dissimulation. Sullivan « s'est engagé dans un plan pour cacher et dissimuler » l'infraction aux régulateurs et a omis de la signaler aux forces de l'ordre ou au public, selon une plainte déposée devant la cour fédérale de Californie jeudi. Le procureur américain David Anderson, qui a déposé les accusations contre Sullivan devant un tribunal fédéral en Californie du Nord, a dit à NPR : Nous attendons un signalement rapide des comportements criminels. Nous attendons une coopération dans le cadre de nos enquêtes. Nous ne tolérerons pas les dissimulations d'entreprises. Nous ne tolérerons pas le versement illégal de "prix du silence" ».
Selon Reuters, ce serait la première fois qu'un responsable de la sécurité de l'information d'une entreprise est accusé de dissimuler un piratage. Sullivan, bien connu dans la Silicon Valley, est le directeur de la sécurité de la société de sécurité Internet Cloudflare depuis 2018. Il a rejoint la société de covoiturage Uber en 2015 après avoir travaillé pour Facebook pendant six ans, notamment en tant que responsable de la sécurité. Et bien avant sa carrière chez les sociétés de technologie, Sullivan a passé deux ans à combattre le piratage informatique et le vole de propriétés intellectuelles en tant qu'assistant du procureur américain dans le district nord de la Californie.
Un porte-parole de Sullivan a dit dans une déclaration que les accusations n'étaient pas fondées et qu'il faisait partie d'une équipe plus large qui travaillait sur la sécurité. « Sans les efforts de Sullivan et de son équipe, il est probable que les individus responsables de cet incident n'auraient jamais été identifiés », a-t-il déclaré. Le porte-parole a déclaré que l'équipe juridique d'Uber, plutôt que celle de Sullivan, était chargée de décider si l'affaire devait être divulguée et à qui elle devait l'être.
Les auteurs de l’attaque avaient été rapidement identifiés, mais un paiement de 100 000 dollars avait été privilégié à l’époque pour étouffer l’affaire et obtenir le silence des auteurs. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs. Lors de précédentes interviews, le personnel de sécurité a déclaré que le paiement d'Uber était destiné à forcer les pirates informatiques à accepter l'argent et à s'assurer que les données, en particulier les informations du permis de conduire des entrepreneurs d'Uber, soient détruites, a rapporté Reuters.
Sullivan aurait non seulement caché la violation aux autorités, mais aussi à de nombreux autres employés d'Uber, y compris la direction générale. Toutefois, selon la plainte, le PDG d'Uber de l'époque, Travis Kalanick, était au courant de l'incident et des mesures prises par Sullivan pour le dissimuler, notamment le versement des 100 000 dollars dans le cadre du programme de "prime de bogues" d'Uber. Cependant, Kalanick n'a pas été inculpé.
Une prime aux bogues qui dépasse le « plafond nominal de 10 000 dollars » versé par l’entreprise
L’affaire remonte à novembre 2016, lorsque Sullivan a reçu un e-mail d'un hacker se faisant appeler John Doughs, qui prétendait avoir trouvé une « vulnérabilité majeure dans Uber ». L’attaquant a déclaré : « J'ai été capable de vider la base de données d’Uber et bien d'autres choses », selon la plainte. Comme dans un piratage précédent, les pirates informatiques ont obtenu des clés pour accéder aux serveurs Amazon de la société, où la société stockait des données sur les conducteurs et les clients, selon la plainte. Les cybercriminels ont mis la main sur les noms, adresses électroniques et numéros de téléphone de 57 millions de passagers et de conducteurs.
Selon la plainte des procureurs, en 2016 après avoir reçu l'e-mail des attaquants, Sullivan a rapidement informé Kalanick qu'il avait « quelque chose de sensible » à lui communiquer. Un SMS de Kalanick cité dans la plainte a proposé de payer les pirates informatiques par le biais du programme de prime aux bogues. « Il faut avoir la certitude de ce qu'il a, la sensibilité/exposition de ce qu'il a et la certitude qu'il peut vraiment traiter cela comme une situation de prime de bogues... Les ressources peuvent être flexibles afin de mettre cela de côté, mais nous devons documenter cela de façon très stricte », a écrit Kalanick à l’époque, selon la plainte.
Comme beaucoup d'entreprises technologiques, Uber paie des chercheurs en cybersécurité pour tester les vulnérabilités de ses systèmes. Mais le paiement qu'Uber a effectué dans cette affaire était bien plus important que toutes les primes de bogues que la société avait versées auparavant, selon la plainte, notant que le programme de la société « avait un plafond nominal de 10 000 dollars ».
Uber a exigé que les pirates signent des accords de non-divulgation, ce qui n'est pas non plus une pratique courante pour une prime de bug, selon la plainte. Les termes des accords disaient à tort que les pirates ne prenaient ni ne stockaient aucune donnée. « Le problème est que ce paiement n'était pas une prime de bogues », a déclaré Anderson. « Nous affirmons que cette conduite reflète la conscience de culpabilité de Sullivan et son désespoir de dissimuler ».
L'affaire pourrait trouver un écho auprès des entreprises qui traitent directement avec les pirates informatiques
Le successeur de Kalanick au poste de PDG - l'actuel chef de l'Uber, Dara Khosrowshahi - a révélé la violation en 2017, un an après, puis a licencié Sullivan et un de ses adjoints après avoir appris l'ampleur de la brèche. Uber a ensuite versé 148 millions de dollars pour régler les réclamations des 50 États américains et de Washington qu'il avait été trop lent à révéler le piratage.
L'affaire d’Uber trouvera un écho auprès du nombre croissant d'entreprises qui traitent directement avec les pirates informatiques. Beaucoup ont des programmes de primes de bogues comme celui d'Uber, qui sont généralement considérés comme un outil pour améliorer la sécurité et inciter les hackers à rester dans la légalité. Mais certains participants ne respectent pas les règles du jeu.
Selon NPR, le bureau d'Anderson a inculpé deux hommes pour cette infraction, l’année dernière. Ces derniers ont plaidé coupables de piratage informatique et d'extorsion - non seulement lors de l'intrusion d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par marsupial
