L’ex RSSI d’Uber poursuivi pour dissimulation d’un vol de données

Détection automatique de masque par selfie pour les chauffeurs Uber

Joseph Sullivan, l’ancien directeur de la cybersécurité d’Uber, est poursuivi pour obstruction à la justice. En 2016, il avait payé 100.000 dollars en Bitcoin à des pirates responsables du vol de données de 57 millions de chauffeurs et clients Uber.

Le service américain de VTC était la victime d’une attaque informatique en 2016. En résultait la compromission des données de 57 millions de clients et chauffeurs Uber. Toutefois, du statut de victime, la firme passait ensuite à celui de coupable.

La plateforme se voyait en effet reprocher la dissimulation de ce piratage. Le responsable de cette décision de cacher les faits pourrait cependant être un cadre d’Uber et non sa direction. La FTC reproche en effet à Joseph Sullivan une obstruction à la justice.

Paiement en Bitcoin et accord de NDA pour les pirates

L’ancien directeur de la cybersécurité de l’entreprise fait l’objet de poursuites. Il est accusé d’avoir, de son propre chef, décidé de masquer le vol de données, des adresses email et numéros de téléphone. Pour étouffer l’affaire, Sullivan aurait versé une somme d’argent aux pirates.

En tout, ce serait 100.000 dollars en Bitcoin qu’auraient empoché les auteurs de la cyberattaque en échange de leur silence. Les crypto-monnaies, comme Bitcoin ou Monero, sont le mode de paiement de prédilection des cybercriminels. Elles permettent généralement de garantir l’anonymat des transactions.     

Mais Joseph Sullivan n’auraient-il pas simplement payé une rançon comme nombre d’entreprises victimes de ransomware ? Ce n’est en tout cas pas l’avis du ministère américain de la justice. D’après celle-ci, il a eu recours au programme de bug bounty d’Uber pour verser l’argent.

L’expert en cybersécurité aurait en outre tenté de faire signer aux pirates un NDA, un accord de confidentialité. Ces actions, qui font désormais l’objet de poursuites, ont-elles été conduites sans l’aval de la direction ?

Sullivan se défend d’avoir décidé seul de cacher l’attaque

Il faudra attendre 2017 et un changement de PDG au sein d’Uber pour que des sanctions soient prises à l’encontre de l’ancien cadre. C’est Dara Khosrowshahi, qui succédait au polémique Travis Kalanick, qui entérinera son licenciement.

Outre une obstruction à la justice, les autorités reprochent à Sullivan d’avoir fait le silence sur un crime. Pour ces charges, l’ex-monsieur cybersécurité d’Uber risque jusqu’à huit ans de prison.

« Nous attendons un signalement rapide des comportements criminels et une coopération dans le cadre de nos enquêtes. Nous ne tolérerons pas les dissimulations des entreprises et n’acceptons pas les paiements illégaux » dénonce le procureur David L. Anderson.

Le cadre indélicat, par l’intermédiaire de son avocat, dénonce quant à lui des accusations sans fondement. « Sans les efforts de M. Sullivan et de son équipe, il est probable que les individus responsables de cet incident n’auraient jamais été identifiés » déclare-t-il.

Le spécialiste de la cybersécurité n’entend pas non plus endosser le rôle de bouc émissaire. L’avocat assure ainsi que son client travaillait en étroite collaboration avec d’autres employés d’Uber, en conformité avec les politiques de l’entreprise.

A lire également sur MyData

Les données de clients Orange compromises par un ransomware

Les données de clients Orange compromises par un ransomware

La filiale OBS d’Orange a été victime d’une attaque de ransomware en juillet. Les pirates ont dérobé et mis en ligne 339 Mo de données de clients de l’opérateur français. Environ 20 clients professionnels d’Orange sont concernés.  

A propos de Christophe Auffray 433 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.