L'ancien cadre supérieur d'Uber est accusé d'avoir dissimulé un piratage massif en 2016 qui a exposé les données de 57 millions de conducteurs et de passagers. Il a été licencié et fait maintenant face à des accusations criminelles. Selon les procureurs fédéraux, au lieu d’informer les régulateurs américains lorsqu’il a appris que des pirates informatiques avaient volé d'énormes quantités de données à Uber, Joe Sullivan, l'ancien chef de la sécurité de la société, a couvert la violation de données en organisant un paiement de 100 000 dollars aux cybercriminels responsables de l'attaque.
Lorsque Joe Sullivan a appris que des pirates informatiques avaient volé d'énormes quantités de données à Uber, il n'en a pas informé les régulateurs, les forces de l'ordre ou le public. Au lieu de cela, les procureurs fédéraux prétendent que le chef de la sécurité d'Uber a essayé de le cacher. Ils accusent l’ancien assistant du procureur américain dans le district nord de la Californie d’avoir pris « des mesures délibérées » pour empêcher la Commission fédérale du commerce d'apprendre l'existence du piratage alors que l'agence surveillait la sécurité d'Uber à la suite d'une infraction antérieure.
Les procureurs accusent Joe Sullivan d'obstruction à la justice et de dissimulation d'un crime pour la prétendue dissimulation. Sullivan « s'est engagé dans un plan pour cacher et dissimuler » l'infraction aux régulateurs et a omis de la signaler aux forces de l'ordre ou au public, selon une plainte déposée devant la cour fédérale de Californie jeudi. Le procureur américain David Anderson, qui a déposé les accusations contre Sullivan devant un tribunal fédéral en Californie du Nord, a dit à NPR : Nous attendons un signalement rapide des comportements criminels. Nous attendons une coopération dans le cadre de nos enquêtes. Nous ne tolérerons pas les dissimulations d'entreprises. Nous ne tolérerons pas le versement illégal de "prix du silence" ».
Selon Reuters, ce serait la première fois qu'un responsable de la sécurité de l'information d'une entreprise est accusé de dissimuler un piratage. Sullivan, bien connu dans la Silicon Valley, est le directeur de la sécurité de la société de sécurité Internet Cloudflare depuis 2018. Il a rejoint la société de covoiturage Uber en 2015 après avoir travaillé pour Facebook pendant six ans, notamment en tant que responsable de la sécurité. Et bien avant sa carrière chez les sociétés de technologie, Sullivan a passé deux ans à combattre le piratage informatique et le vole de propriétés intellectuelles en tant qu'assistant du procureur américain dans le district nord de la Californie.
Un porte-parole de Sullivan a dit dans une déclaration que les accusations n'étaient pas fondées et qu'il faisait partie d'une équipe plus large qui travaillait sur la sécurité. « Sans les efforts de Sullivan et de son équipe, il est probable que les individus responsables de cet incident n'auraient jamais été identifiés », a-t-il déclaré. Le porte-parole a déclaré que l'équipe juridique d'Uber, plutôt que celle de Sullivan, était chargée de décider si l'affaire devait être divulguée et à qui elle devait l'être.
Les auteurs de l’attaque avaient été rapidement identifiés, mais un paiement de 100 000 dollars avait été privilégié à l’époque pour étouffer l’affaire et obtenir le silence des auteurs. Il faut préciser qu’à l’époque de l’incident, Uber était en pleine discussion avec la Federal Trade Commission au sujet de sa gestion des données utilisateurs. Lors de précédentes interviews, le personnel de sécurité a déclaré que le paiement d'Uber était destiné à forcer les pirates informatiques à accepter l'argent et à s'assurer que les données, en particulier les informations du permis de conduire des entrepreneurs d'Uber, soient détruites, a rapporté Reuters.
Sullivan aurait non seulement caché la violation aux autorités, mais aussi à de nombreux autres employés d'Uber, y compris la direction générale. Toutefois, selon la plainte, le PDG d'Uber de l'époque, Travis Kalanick, était au courant de l'incident et des mesures prises par Sullivan pour le dissimuler, notamment le versement des 100 000 dollars dans le cadre du programme de "prime de bogues" d'Uber. Cependant, Kalanick n'a pas été inculpé.
Une prime aux bogues qui dépasse le « plafond nominal de 10 000 dollars » versé par l’entreprise
L’affaire remonte à novembre 2016, lorsque Sullivan a reçu un e-mail d'un hacker se faisant appeler John Doughs, qui prétendait avoir trouvé une « vulnérabilité majeure dans Uber ». L’attaquant a déclaré : « J'ai été capable de vider la base de données d’Uber et bien d'autres choses », selon la plainte. Comme dans un piratage précédent, les pirates informatiques ont obtenu des clés pour accéder aux serveurs Amazon de la société, où la société stockait des données sur les conducteurs et les clients, selon la plainte. Les cybercriminels ont mis la main sur les noms, adresses électroniques et numéros de téléphone de 57 millions de passagers et de conducteurs.
Selon la plainte des procureurs, en 2016 après avoir reçu l'e-mail des attaquants, Sullivan a rapidement informé Kalanick qu'il avait « quelque chose de sensible » à lui communiquer. Un SMS de Kalanick cité dans la plainte a proposé de payer les pirates informatiques par le biais du programme de prime aux bogues. « Il faut avoir la certitude de ce qu'il a, la sensibilité/exposition de ce qu'il a et la certitude qu'il peut vraiment traiter cela comme une situation de prime de bogues... Les ressources peuvent être flexibles afin de mettre cela de côté, mais nous devons documenter cela de façon très stricte », a écrit Kalanick à l’époque, selon la plainte.
Comme beaucoup d'entreprises technologiques, Uber paie des chercheurs en cybersécurité pour tester les vulnérabilités de ses systèmes. Mais le paiement qu'Uber a effectué dans cette affaire était bien plus important que toutes les primes de bogues que la société avait versées auparavant, selon la plainte, notant que le programme de la société « avait un plafond nominal de 10 000 dollars ».
Uber a exigé que les pirates signent des accords de non-divulgation, ce qui n'est pas non plus une pratique courante pour une prime de bug, selon la plainte. Les termes des accords disaient à tort que les pirates ne prenaient ni ne stockaient aucune donnée. « Le problème est que ce paiement n'était pas une prime de bogues », a déclaré Anderson. « Nous affirmons que cette conduite reflète la conscience de culpabilité de Sullivan et son désespoir de dissimuler ».
L'affaire pourrait trouver un écho auprès des entreprises qui traitent directement avec les pirates informatiques
Le successeur de Kalanick au poste de PDG - l'actuel chef de l'Uber, Dara Khosrowshahi - a révélé la violation en 2017, un an après, puis a licencié Sullivan et un de ses adjoints après avoir appris l'ampleur de la brèche. Uber a ensuite versé 148 millions de dollars pour régler les réclamations des 50 États américains et de Washington qu'il avait été trop lent à révéler le piratage.
L'affaire d’Uber trouvera un écho auprès du nombre croissant d'entreprises qui traitent directement avec les pirates informatiques. Beaucoup ont des programmes de primes de bogues comme celui d'Uber, qui sont généralement considérés comme un outil pour améliorer la sécurité et inciter les hackers à rester dans la légalité. Mais certains participants ne respectent pas les règles du jeu.
Selon NPR, le bureau d'Anderson a inculpé deux hommes pour cette infraction, l’année dernière. Ces derniers ont plaidé coupables de piratage informatique et d'extorsion - non seulement lors de l'intrusion d'Uber, mais aussi lors d'une violation ultérieure de la plateforme d'apprentissage Lynda.com de LinkedIn.
« Un des résultats de la dissimulation est que les pirates ont continué à pirater d'autres entreprises d'une manière similaire à ce qu'ils avaient fait à Uber », a déclaré Anderson. « Parce que le piratage d'Uber a été dissimulé, les forces de l'ordre n'ont pas été en mesure de répondre, les forces de l'ordre n'ont pas pu mettre les pirates en détention, les forces de l'ordre n'ont pas pu perturber ce qu'ils faisaient », a-t-il ajouté.
En 2017, Uber a présenté des arguments selon lesquels il ne fallait pas juger Uber pour « ce qu'une entreprise faisait alors - à l'époque où l'entreprise était beaucoup plus petite » - en fonction « des normes que l'agence juge appropriées aujourd'hui (compte tenu de la sophistication actuelle de l'entreprise et des meilleures pratiques actuelles de l'industrie) », a rappelé un commentateur.
L'affaire suggère également qu’Uber et les autres entreprises qui paient les pirates pour se débarrasser des logiciels de rançon, des programmes malveillants qui chiffrent leurs fichiers, ne sont pas exemptées de l'obligation de signaler les pertes d'informations personnelles sensibles aux autorités.
Khosrowshahi a assuré en 2017 que les données téléchargées par les cybercriminels avaient été détruites, cependant, la plainte contre Sullivan a allégué que les deux pirates ont partagé les données d’Uber qu'ils ont volées avec une troisième personne qui n'a pas été inculpée. Si Sullivan est reconnu coupable, il risque jusqu'à huit ans de prison, ainsi que des amendes potentielles allant jusqu'à 500 000 dollars, d’après NPR.
Source : Ministère de la Justice
Et vous ?
Qu’en pensez-vous ?
Pensez-vous que Sullivan est plus responsable de cette dissimulation que Kalanick, l’ancien PDG d’Uber ?
Voir aussi :
Uber a été victime d'un piratage massif en 2016 et a préféré payer 100 000 dollars aux hackers, pour étouffer l'affaire
La CNIL inflige une amende de 400 000 euros à Uber, pour le piratage dont la société a été victime en 2016
Les autorités britanniques et néerlandaises infligent une amende d'un million d'euros à Uber, pour une violation des données de ses clients en 2016
Uber et Lyft continueront à opérer en Californie, une Cour d'appel de l'État vient de leur accorder un sursis, le reclassement ou non des chauffeurs sera fixé par vote par les électeurs en novembre
Un ancien cadre d'Uber accusé d'avoir payé le "prix du silence" pour dissimuler une violation,
Qui a exposé les données personnelles de 57 millions de conducteurs et de passagers
Un ancien cadre d'Uber accusé d'avoir payé le "prix du silence" pour dissimuler une violation,
Qui a exposé les données personnelles de 57 millions de conducteurs et de passagers
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !