L’ancien chef de la sécurité chez Uber, Joseph Sullivan, vient d’être reconnu coupable d’avoir caché un important vol de données survenu en 2016. C’est la première fois qu'un dirigeant d'entreprise fait l'objet de poursuites pénales pour un piratage informatique.
À l’époque, un hacker était parvenu à télécharger les données personnelles de 57 millions d’utilisateurs et de chauffeurs Uber.
Sullivan n’a pas prévenu les instances du vol de données
Les faits se sont produits alors qu’Uber faisait déjà l’objet d’une enquête de la Federal Trade Commission (FTC) pour une autre faille de sécurité datant de 2014. Un groupe de hackers anonymes a ainsi approché Uber en affirmant avoir obtenu accès au stockage de l’entreprise sur Amazon Web Services (AWS). Ils ont déclaré avoir téléchargé la base de données d’Uber et ont exigé une rançon de 100 000 dollars pour détruire les informations.
Un mois plus tard, la somme a été payée en bitcoins par l’équipe de Sullivan via le programme de primes aux bugs d'Uber, qui consiste à rémunérer les personnes qui rapportent des bugs aux entreprises technologiques. Problème, la FTC n’a pas été informée de l’incident comme la loi l’exige et surtout, l’ancien chef de la sécurité aurait pris des mesures pour éviter que l’affaire s’ébruite au sein de l’entreprise. Il n’a en outre pas tenu au courant les membres clés de l'équipe juridique.
Le P.-D.G. d’Uber de l’époque, Travis Kalanick, était au courant de l'incident, selon les preuves présentées au cours du procès. Il s'est d’ailleurs retiré sous la pression des investisseurs à l’époque, et a été remplacé par l'actuel dirigeant, Dara Khosrowshahi. Ce dernier a décidé de se pencher sur l'incident et s’est rendu compte de l’ampleur de l’affaire : les informations volées comprenaient les noms, les adresses électroniques et les numéros de téléphone de plus de 50 millions d’utilisateurs de la plateforme et de 7 millions de chauffeurs, ainsi que les numéros de permis de conduire de 600 000 autres conducteurs.
Uber a été condamnée à payer 148 millions de dollars en 2018 pour cette importante fuite de données.
Coupable de deux chefs d’accusation
Ce mercredi 5 octobre, la justice a donc rendu son verdict après un procès de trois semaines portant sur le rôle de Joseph Sullivan dans cette affaire. Si son avocat a expliqué que l’ancien dirigeant « croyait que les données de ses clients étaient en sécurité et qu'il s'agissait d'un incident quelconque qui ne méritait pas d’être signalé », la cour en a décidé autrement.
Il a été reconnu coupable de deux chefs d’accusation : l’un pour obstruction à la justice pour ne pas avoir rapporté l’incident à la FTC, et l'autre pour avoir dissimulé un crime aux autorités. Il risque cinq ans de prison.
Cette affaire est très suivie dans le monde de la tech. Il est en effet extrêmement rare que des dirigeants fassent l'objet de poursuites pénales à la suite d'un hack. Cela démontre d’ailleurs l’approche bien plus agressive de Washington vis-à-vis de l’industrie depuis maintenant deux ans.
Sources : The Verge, The Wall Street Journal