L’ancien responsable de la sécurité d’Uber a été reconnu coupable d’avoir dissimulé une violation de données en 2016 chez le géant du covoiturage, d’avoir caché des détails aux régulateurs américains et d’avoir payé une paire de pirates en échange de leur discrétion.
Le procès, étroitement surveillé dans les cercles de la cybersécurité, serait la première poursuite pénale d’un dirigeant d’entreprise pour la gestion d’une violation de données.
Joe Sullivan, qui a quitté Uber en 2017, a été reconnu coupable mardi par un jury de San Francisco d’avoir fait obstruction à une enquête de la Federal Trade Commission. Au moment de la violation de 2016, le régulateur enquêtait sur le service de réservation de voitures sur une autre faille de cybersécurité survenue deux ans plus tôt.
Les jurés ont également condamné Sullivan pour un deuxième chef d’accusation lié au fait d’avoir eu connaissance, mais de ne pas avoir signalé, la violation de 2016 aux autorités gouvernementales compétentes.
L’incident est finalement devenu public en 2017 lorsque Dara Khosrowshahi, qui venait de prendre ses fonctions de directeur général, a révélé les détails de l’attaque.
Les procureurs ont déclaré que Sullivan avait pris des mesures pour s’assurer que les données compromises lors de l’attaque ne seraient pas révélées. Selon des documents judiciaires, deux pirates ont approché l’équipe de Sullivan pour informer Uber d’une faille de sécurité qui a exposé des informations personnelles sur près de 60 millions de conducteurs et de passagers sur la plate-forme.
Les pirates, dont l’un a témoigné au cours du procès, ont refusé l’offre de l’entreprise de 10 000 dollars – le paiement maximum dans le cadre de la politique de « bug bounty » d’Uber conçue pour encourager la divulgation privée des failles de sécurité – et ont menacé de divulguer les données si des frais plus élevés n’étaient pas payé.
Les parties ont négocié un paiement de 100 000 $, qui nécessitait la signature d’un accord de non-divulgation et un engagement à supprimer toutes les données d’utilisateur qui avaient été obtenues. Les deux pirates ont par la suite plaidé coupables à l’attaque.
Les avocats de Sullivan ont défendu ses actions devant le tribunal, affirmant qu’il avait agi pour protéger les utilisateurs et avait informé ses supérieurs – y compris le PDG de l’époque, Travis Kalanick – de la violation de données.
Le résultat enverra des ondes de choc dans l’industrie de la cybersécurité, soulevant des questions sur qui devrait assumer la responsabilité en cas de violation dommageable.
« Ce verdict est déplacé », a déclaré Katie Moussouris, fondatrice et directrice générale de Luta Security, spécialisée dans la gestion de programmes de « bug bounty » pour les grandes organisations. « Le rôle de chef de la sécurité ne peut pas devenir chef sacrificiel si nous voulons que ces rôles soient efficaces. »
Uber n’a pas répondu aux demandes de commentaires.
Sullivan, un ancien procureur du gouvernement spécialisé dans la cybercriminalité, a également travaillé auparavant chez Facebook et Cloudflare.
La date de sa condamnation n’a pas encore été fixée. Il risque jusqu’à huit ans de prison.