L’ancien chef de la sécurité d’Uber a été reconnu coupable d’entrave à la justice et dissimulation délibérée d’un crime le mercredi 5 octobre 2022. Joseph Sullivan est reconnu coupable d’avoir caché une faille de sécurité à la Federal Trade Commission et d’avoir cherché à éviter d’ébruiter ce vol massif de données survenu en 2016 en payant les hackers, rapporte le Washington Post. Le juge n’a pas fixé de date pour le prononcé de la condamnation. Joseph Sullivan peut faire appel si les requêtes postérieures au procès qu’il a déposées ne peuvent pas annuler le verdict.
Paiement et accord de confidentialité
L’histoire remonte à 2016. Uber se fait voler des données concernant 57 millions de clients et de chauffeurs. Dans le détail, sont concernés les noms, adresses email, numéros de téléphone et numéros de permis de conduire de 50 millions de clients et 7 millions de chauffeurs Uber à travers le monde. Les criminels ont pu obtenir ces données suite à la déficience des développeurs d’Uber : ils ont accédé à un compte GitHub privé utilisé par les ingénieurs de l’entreprise par lequel ils ont pu récupérer des identifiants qui leur ont donné accès à un compte Amazon Web Services (AWS) contenant les informations volées.
Un hacker envoie un courrier anonyme à Joseph Sullivan décrivant comment une faille de sécurité lui permettant d’accéder à l’ensemble de ces données. Le responsable de la sécurité les oriente alors vers le programme de Bug Bounty d’Uber en leur signalant que la récompense la plus élevée est de 10000 dollars. S’en négociera des négociations sur le montant du paiement pour que les hackers ne divulguent pas les informations qui s’élèveront finalement à 100000 dollars. Les hackers signent également un accord de confidentialité.
Joseph Sullivan est licencié d’Uber en 2017 sous l’impulsion du nouveau PDG d’Uber, Dara Khosrowshahi, a qui est révélé ce vol massif de données et qui décide de rendre cette information publique. En juillet dernier, Uber a reconnu avoir dissimulé ce vol de données et accepté de coopérer dans le cadre des poursuites prévu à l’encontre de son ancien responsable de la sécurité. Entre ce vol massif de données et les poursuites produites à son rencontre, Joseph Sullivan a été le principal responsable de la sécurité chez Facebook, Uber, et Cloudflare.
Uber déjà sous le coup d’une enquête
Si la façon dont Jospeh Sullivan ressemble à une dissimulation, des témoignages lors du procès ont démontré que les équipes du responsable de la sécurité ont cherché d’identifier les hackers lors de ce processus afin de s’assurer qu’ils tiennent la parole. Mais les procureurs ont fait valoir que dans cette histoire la signature d’un accord de confidentialité participait à prouver la dissimulation. Selon eux, les hackers n’auraient pas pu être intégrés au programme de Bug Bounty car leur démarche était malveillante.
L’accusation d’entrave à la justice s’appuie sur le fait qu’Uber était à l’époque sous le coup d’une enquête de la Federal Trade Commission à la suite d’une affaire remontant à 2014. donc d’autant plus du informateur la FTC de ce vol de données.
Un verdict surprise ?
Le verdict est qualifié de surprise par le Washington Post qui ajoute que la plupart des professionnels de la sécurité avaient anticipé l’acquittement de Joseph Sullivan en mettant en avant le fait que le PDG de l’époque, Travis Kalanick, et de nombreux autres responsables , avaient été tenus informés des actions qu’il avait prises. Mais ces personnes n’ont jamais été inquiétées par la justice.
Cette histoire est la première affaire pénale majeure de ce type aux États-Unis ou un responsable de la sécurité d’une entreprise est jugé pour avoir payé des pirates. Depuis, les paiements de rançons auprès des hackers se multiplient. Si certaines histoires sont rendues publiques, il est probable que d’autres restent cachées.
Les dirigeants du FBI, tout en décourageant cette pratique, ont déclaré qu’ils ne poursuivraient pas les personnes et les entreprises qui paient des rançons si elles ne violent pas les sanctions interdisant les paiements à certains groupes criminels listés et souvent proches du gouvernement russe .
