Uber : comment l'ex-responsable de la sécurité a caché une faille ultra-massive

06 octobre 2022 à 13h45
2
Uber © © charlesdeluvio / Unsplash
© charlesdeluvio / Unsplash

L’ancien chef de la sécurité chez Uber, Joseph Sullivan, vient d’être reconnu coupable d’avoir caché un important vol de données survenu en 2016. C’est la première fois qu'un dirigeant d'entreprise fait l'objet de poursuites pénales pour un piratage informatique.

À l’époque, un hacker était parvenu à télécharger les données personnelles de 57 millions d’utilisateurs et de chauffeurs Uber. 

Sullivan n’a pas prévenu les instances du vol de données

Les faits se sont produits alors qu’Uber faisait déjà l’objet d’une enquête de la Federal Trade Commission (FTC) pour une autre faille de sécurité datant de 2014. Un groupe de hackers anonymes a ainsi approché Uber en affirmant avoir obtenu accès au stockage de l’entreprise sur Amazon Web Services (AWS). Ils ont déclaré avoir téléchargé la base de données d’Uber et ont exigé une rançon de 100 000 dollars pour détruire les informations. 

Un mois plus tard, la somme a été payée en bitcoins par l’équipe de Sullivan via le programme de primes aux bugs d'Uber, qui consiste à rémunérer les personnes qui rapportent des bugs aux entreprises technologiques. Problème, la FTC n’a pas été informée de l’incident comme la loi l’exige et surtout, l’ancien chef de la sécurité aurait pris des mesures pour éviter que l’affaire s’ébruite au sein de l’entreprise. Il n’a en outre pas tenu au courant les membres clés de l'équipe juridique.

Le P.-D.G. d’Uber de l’époque, Travis Kalanick, était au courant de l'incident, selon les preuves présentées au cours du procès. Il s'est d’ailleurs retiré sous la pression des investisseurs à l’époque, et a été remplacé par l'actuel dirigeant, Dara Khosrowshahi. Ce dernier a décidé de se pencher sur l'incident et s’est rendu compte de l’ampleur de l’affaire : les informations volées comprenaient les noms, les adresses électroniques et les numéros de téléphone de plus de 50 millions d’utilisateurs de la plateforme et de 7 millions de chauffeurs, ainsi que les numéros de permis de conduire de 600 000 autres conducteurs. 

Uber a été condamnée à payer 148 millions de dollars en 2018 pour cette importante fuite de données. 

Coupable de deux chefs d’accusation

Ce mercredi 5 octobre, la justice a donc rendu son verdict après un procès de trois semaines portant sur le rôle de Joseph Sullivan dans cette affaire. Si  son avocat a expliqué que l’ancien dirigeant « croyait que les données de ses clients étaient en sécurité et qu'il s'agissait d'un incident quelconque qui ne méritait pas d’être signalé », la cour en a décidé autrement. 

Il a été reconnu coupable de deux chefs d’accusation : l’un pour obstruction à la justice pour ne pas avoir rapporté l’incident à la FTC, et l'autre pour avoir dissimulé un crime aux autorités. Il risque cinq ans de prison. 

Cette affaire est très suivie dans le monde de la tech. Il est en effet extrêmement rare que des dirigeants fassent l'objet de poursuites pénales à la suite d'un hack. Cela démontre d’ailleurs l’approche bien plus agressive de Washington vis-à-vis de l’industrie depuis maintenant deux ans.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
norwy
Des cas comme cela, on peut penser qu’il y en a des dizaines…
toast
Ah Uber, cette boîte tellement éthique sur tous les points
Voir tous les messages sur le forum

Derniers actualités

Idée cadeau | Insta360 X3 : une caméra spectaculaire
Le smartphone Realme GT Master baisse de prix pour le week-end
Ça y est, Les Gardiens de la Galaxie Vol. 3 a son trailer !
AWS (Amazon Web Services) veut rendre plus d’eau qu’elle n’en utilise, mais comment ?
Coupures d'électricité : ce site vous dit si vous êtes concerné
Moins de 30€, c'est l'offre du moment sur les écouteurs sans fil de chez OPPO !
Voilà à quoi devrait ressembler le Pixel 7a, nouvelle version accessible du smartphone signé Google
Véhicules électriques : pourquoi Tesla perd des parts de marché aux États-Unis ?
Fnac vous offre une manette à l'achat d'une Xbox Series S bardée de bonus
OnePlus et mises à jour : le fabricant aurait-il enfin entendu ses clients ?
Haut de page