SAN FRANCISCO (AP) – L’ancien responsable de la sécurité d’Uber a été reconnu coupable mercredi d’avoir tenté de dissimuler une violation de données en 2016 dans lequel les pirates ont accédé à des dizaines de millions d’enregistrements de clients à partir du service de covoiturage.
Un jury fédéral de San Francisco a reconnu Joseph Sullivan coupable d’entrave à la justice et de dissimulation de savoir qu’un crime fédéral avait été commis, ont déclaré les procureurs fédéraux.
Sullivan reste libre sous caution dans l’attente de sa condamnation et pourrait encourir un total de huit ans de prison pour les deux chefs d’accusation lorsqu’il sera condamné, ont déclaré les procureurs.
« Les entreprises technologiques du district nord de la Californie collectent et stockent de grandes quantités de données des utilisateurs », a déclaré l’avocate américaine Stephanie M. Hinds dans un communiqué. « Nous ne tolérerons pas la dissimulation d’informations importantes au public par des dirigeants d’entreprise plus soucieux de protéger leur réputation et celle de leurs employeurs que de protéger les utilisateurs. »
On pensait qu’il s’agissait de la première poursuite pénale d’un dirigeant d’entreprise pour une violation de données.
Un avocat de Sullivan, David Angeli, a contesté le verdict.
« M. Le seul objectif de Sullivan – dans cet incident et tout au long de sa brillante carrière – a été d’assurer la sécurité des données personnelles des personnes sur Internet », a déclaré Angeli au New York Times..
Un e-mail à Uber demandant des commentaires sur la condamnation n’a pas été immédiatement renvoyé.
Sullivan a été embauché en tant que directeur de la sécurité d’Uber en 2015. En novembre 2016, Sullivan a reçu un e-mail de pirates informatiques et les employés ont rapidement confirmé qu’ils avaient volé des enregistrements sur environ 57 millions d’utilisateurs ainsi que 600 000 numéros de permis de conduire, ont déclaré les procureurs.
Après avoir appris l’existence de l’infraction, Sullivan a lancé un stratagème pour le cacher au public et à la Federal Trade Commission, qui enquêtait sur un petit piratage de 2014, ont déclaré les autorités.
Selon le bureau du procureur américain, Sullivan a déclaré à ses subordonnés que « l’histoire en dehors du groupe de sécurité devait être que » cette enquête n’existe pas « » et s’est arrangé pour payer aux pirates 100 000 $ en bitcoins en échange de la signature d’accords de non-divulgation. promettant de ne pas révéler le hack. Il n’a également jamais mentionné la violation aux avocats d’Uber qui ont participé à l’enquête de la FTC, ont déclaré les procureurs.
« Sullivan a orchestré ces actes alors qu’il savait que les pirates pirataient et extorquaient d’autres entreprises ainsi qu’Uber », a déclaré le bureau du procureur américain.
La nouvelle direction d’Uber a commencé à enquêter sur l’infraction à l’automne 2017. Bien que Sullivan ait menti au nouveau PDG et à d’autres, la vérité a été découverte et l’infraction a été rendue publique, ont déclaré les procureurs.
Sullivan a été licencié avec Craig Clark, un avocat d’Uber à qui il avait parlé de l’infraction. Clark a reçu l’immunité des procureurs et a témoigné contre Sullivan.
Aucun autre dirigeant d’Uber n’a été inculpé dans cette affaire.
Les pirates ont plaidé coupables en 2019 à des accusations de complot de fraude informatique et attendent leur condamnation.
Sullivan a été reconnu coupable d’obstruction aux procédures de la Federal Trade Commission et d’erreur de crime, c’est-à-dire de dissimulation de la connaissance d’un crime aux autorités.
Pendant ce temps, certains experts se sont demandé à quel point la cybersécurité s’était améliorée chez Uber depuis la violation.
La société a annoncé le mois dernier que tous ses services étaient opérationnels à la suite de ce que les professionnels de la sécurité ont qualifié de violation majeure des données, affirmant qu’il n’y avait aucune preuve que le pirate ait eu accès aux données sensibles des utilisateurs.
Le pirate isolé a apparemment obtenu l’accès en se faisant passer pour un collègue, incitant un employé d’Uber à rendre ses informations d’identification. Les captures d’écran que le pirate a partagées avec des chercheurs en sécurité indiquent qu’ils ont obtenu un accès complet aux systèmes basés sur le cloud où Uber stocke des données clients et financières sensibles.
On ne sait pas combien de données le pirate a volé ni combien de temps il est resté dans le réseau d’Uber. Rien n’indiquait qu’ils avaient détruit des données.