L'ancien chef de la sécurité d'Uber jugé coupable d'avoir caché un vol massif de données
L'ancien chef de la sécurité d'Uber est reconnu coupable d'entrave à la justice et de dissimulation d'un vol massif de données survenues en 2016. Des informations concernant 57 millions de clients et chauffeurs ont été volées par des hackers qui ont été payés par Uber pour ne pas divulguer ces données et ont signé un accord de confidentialité.
L'ancien chef de la sécurité d'Uber a été reconnu coupable d'entrave à la justice et dissimulation délibérée d'un crime le mercredi 5 octobre 2022. Joseph Sullivan est reconnu coupable d'avoir caché une faille de sécurité à la Federal Trade Commission et d'avoir activement cherché à éviter de d'ébruiter ce vol massif de données survenu en 2016 en payant les hackers, rapporte le Washington Post. Le juge n'a pas fixé de date pour le prononcé de la condamnation. Joseph Sullivan peut faire appel si les requêtes postérieures au procès qu'il a déposées ne parviennent pas à annuler le verdict.
Paiement et accord de confidentialité
L'histoire remonte à 2016. Uber se fait voler des données concernant 57 millions de clients et de chauffeurs. Dans le détail, sont concernés les noms, adresses email, numéros de téléphone et numéros de permis de conduire de 50 millions de clients et 7 millions de chauffeurs Uber à travers le monde. Les criminels ont pu obtenir ces données suite à la négligence des développeurs d'Uber : ils ont accédé à un compte GitHub privé utilisé par les ingénieurs de l'entreprise par lequel ils ont pu récupérer des identifiants qui leur ont donné accès à un compte Amazon Web Services (AWS) contenant les informations volées.
Un hacker envoie un mail anonyme à Joseph Sullivan décrivant comment une faille de sécurité lui a permis d'accéder à l'ensemble de ces données. Le responsable de la sécurité les oriente alors vers le programme de Bug Bounty d'Uber en leur signalant que la récompense la plus élevée est de 10000 dollars. S'en suivent des négociations sur le montant du paiement pour que les hackers ne divulguent pas les informations qui s'élèvera finalement à 100000 dollars. Les hackers signent également un accord de confidentialité.
Joseph Sullivan est licencié d'Uber en 2017 sous l'impulsion du nouveau CEO d'Uber, Dara Khosrowshahi, a qui est révélé ce vol massif de données et qui décide de rendre cette information publique. En juillet dernier, Uber a reconnu avoir dissimulé ce vol de données et accepté de coopérer dans le cadre des poursuites menées à l'encontre de son ancien responsable de la sécurité. Entre ce vol massif de données et les poursuites entamées à son encontre, Joseph Sullivan a été le principal responsable de la sécurité chez Facebook, Uber, et Cloudflare.
Uber déjà sous le coup d'une enquête
Si la façon dont Jospeh Sullivan a agi ressemble à une dissimulation, des témoignages lors du procès montrent que les équipes du responsable de la sécurité ont cherché d'identifier les hackers lors de ce processus afin de s'assurer qu'ils tiennent parole. Mais les procureurs ont fait valoir que dans cette histoire la signature d'un accord de confidentialité participait à prouver la dissimulation. Selon eux les hackers n'auraient pas pu être intégrés au programme de Bug Bounty car leur démarche était malveillante.
L'accusation d'entrave à la justice s'appuie sur le fait qu'Uber était à l'époque sous le coup d'une enquête de la Federal Trade Commission à la suite d'une affaire remontant à 2014. L'entreprise aurait donc d'autant plus du informer la FTC de ce vol de données.
Un verdict surprise ?
Le verdict est qualifié de surprise par le Washington Post qui ajoute que la plupart des professionnels de la sécurité avaient anticipés l'acquittement de Joseph Sullivan en mettant en avant le fait que le CEO de l'époque, Travis Kalanick, et de nombreux autres responsables, avaient été tenus informés des actions qu'il prenait. Mais ces personnes n'ont jamais été inquiétées par la justice.
Cette histoire est la première affaire pénale majeure de ce type aux Etats-Unis ou un responsable de la sécurité d'une entreprise est jugé pour avoir payé des hackers. Depuis, les paiements de rançons auprès des hackers se sont multipliés. Si certaines histoires sont rendues publiques, il est probable que d'autres restent cachées.
Les dirigeants du FBI, tout en décourageant officiellement cette pratique, ont déclaré qu'ils ne poursuivraient pas les personnes et les entreprises qui paient des rançons si elles ne violent pas les sanctions interdisant les paiements à certains groupes criminels listés et souvent proches du gouvernement russe.
SUR LE MÊME SUJET
L'ancien chef de la sécurité d'Uber jugé coupable d'avoir caché un vol massif de données
Tous les champs sont obligatoires
0Commentaire
Réagir