L’ancien chef de la sécurité d’Uber, Joseph Sullivan, a été accusé d’entrave à la justice aux États-Unis.

L’homme de 52 ans est accusé d’avoir tenté de dissimuler une violation de données en 2016 qui a révélé les détails de 57 millions de conducteurs et de passagers Uber.

La société avait précédemment admis avoir payé une rançon de 100000 dollars (75000 £) à un groupe de pirates informatiques pour supprimer les données volées.

M. Sullivan a été licencié en 2017 lorsque la violation de données a été révélée.

Les accusations déposées par le département américain de la Justice alléguaient que M. Sullivan avait pris des «mesures délibérées» pour empêcher la Federal Trade Commission (FTC) de découvrir l’existence du piratage.

Il est accusé d’avoir autorisé le paiement de 100000 $ aux pirates informatiques qui a été effectué en Bitcoin.

Le paiement a été déguisé en une récompense de «bug bounty» versée par des chercheurs en cybersécurité pour découvrir les vulnérabilités afin qu’elles puissent être corrigées.

Les accusations allèguent qu’il a demandé aux pirates de signer des accords de non-divulgation et prétend à tort qu’ils n’ont pas volé de données Uber.

« La Silicon Valley n’est pas le Far West », a déclaré l’avocat américain David Anderson. « Nous nous attendons à une bonne citoyenneté d’entreprise. Nous nous attendons à ce que les comportements criminels soient signalés rapidement. Nous nous attendons à une coopération dans nos enquêtes. Nous ne tolérerons pas les dissimulations d’entreprises. »

Un porte-parole de M. Sullivan a déclaré qu’il avait nié les accusations.

« Sans les efforts de M. Sullivan et de son équipe, les personnes responsables de cet incident n’auraient probablement pas été identifiées du tout », a déclaré le porte-parole Brad Williams.

LIRE  StackPulse annonce un investissement de 28 millions de dollars pour aider les développeurs à gérer les pannes

M. Sullivan travaille actuellement en tant que chef de la sécurité de l’information au sein de la société de cybersécurité Cloudflare.

Dara Khosrowshahi, PDG d’Uber, a annoncé la violation de données en 2017. La société a finalement payé 148 millions de dollars pour régler les réclamations juridiques des 50 États et de Washington DC.

Une analyse

Publié par Joe Tidy, Cyber ​​Reporter

Quand une violation est-elle une violation?

Cela pourrait être la question centrale à laquelle le tribunal est confronté dans cette affaire, et qui est étroitement surveillée par des pirates informatiques et des experts en sécurité du monde entier.

M. Sullivan dit qu’il n’a rien fait de mal et a seulement récompensé les pirates avec une « prime de bogue » pour avoir découvert une vulnérabilité dans le système d’Uber.

De nombreuses grandes entreprises ont des systèmes de primes de bogues ouverts qui invitent les pirates à tester leurs systèmes informatiques pour détecter les erreurs dans des conditions strictes.

S’ils en trouvent un, ils sont payés et l’entreprise peut le réparer sans en avertir les autorités.

Mais ces pirates n’ont pas contacté Uber dans le cadre d’un programme. Ils ont fait irruption dans les systèmes de manière anonyme, ont volé des données et ont pris l’entreprise pour une rançon.

En fait, M. Sullivan a été accusé d’avoir transformé un piratage sérieux en une prime de bogue de routine qui ne valait donc pas la peine d’être signalée aux autorités ou à son entreprise.

Le fait que les pirates eux-mêmes aient déjà plaidé coupable de la cyberattaque ne peut pas aider le cas de M. Sullivan.

LIRE  Malgré son engagement en faveur de la lutte contre le racisme, le nombre d'employés d'Uber Black a diminué