Technology

Un ancien patron de la sécurité d’Uber accusé d’avoir dissimulé une attaque de piratage

Copyright de l’image
Reuters

L’ancien chef de la sécurité d’Uber, Joseph Sullivan, a été accusé d’entrave à la justice aux États-Unis.

L’homme de 52 ans est accusé d’avoir tenté de dissimuler une violation de données en 2016 qui a révélé les détails de 57 millions de conducteurs et de passagers Uber.

La société a précédemment admis avoir payé à un groupe de pirates une rançon de 100 000 $ (75 000 £) pour supprimer les données qu’ils avaient volées.

M. Sullivan a été licencié en 2017 lorsque la violation de données a été révélée.

Les accusations déposées par le département américain de la Justice ont déclaré que M. Sullivan avait pris des “mesures délibérées” pour empêcher la Federal Trade Commission (FTC) de découvrir le piratage.

Il est accusé d’avoir approuvé le paiement de 100000 dollars aux pirates, qui a été effectué en bitcoin.

Le paiement était déguisé en une récompense de «bounty», utilisée pour payer les chercheurs en cybersécurité qui divulguent les vulnérabilités afin qu’elles puissent être corrigées.

Les accusations allèguent qu’il a demandé aux pirates de signer des accords de non-divulgation, affirmant à tort qu’ils n’avaient volé aucune donnée Uber.

“La Silicon Valley n’est pas le Far West”, a déclaré l’avocat américain David Anderson. “Nous attendons une bonne citoyenneté d’entreprise. Nous nous attendons à un signalement rapide des actes criminels. Nous nous attendons à une coopération avec nos enquêtes. Nous ne tolérerons pas les dissimulations d’entreprises.”

Un porte-parole de M. Sullivan a déclaré qu’il avait nié les accusations.

“Sans les efforts de M. Sullivan et de son équipe, il est probable que les personnes responsables de cet incident n’auraient jamais été identifiées du tout”, a déclaré le porte-parole Brad Williams.

M. Sullivan travaille actuellement en tant que responsable de la sécurité de l’information au sein de la société de cybersécurité Cloudflare.

Le PDG d’Uber, Dara Khosrowshahi, a révélé la violation de données en 2017. La société a finalement payé 148 millions de dollars pour régler les réclamations légales des 50 États américains et de Washington DC.

Une analyse

Par Joe Tidy, Cyber ​​Reporter

Quand une violation est-elle une violation?

Telle pourrait être la question clé à laquelle le tribunal est confronté dans cette affaire qui sera surveillée de près par les pirates et les experts en sécurité du monde entier.

M. Sullivan dit qu’il n’a rien fait de mal et qu’il a simplement récompensé les pirates informatiques d’une «prime de bogue» pour avoir découvert une faille de sécurité dans le système d’Uber.

De nombreuses grandes entreprises ont des programmes de primes de bogues ouverts qui invitent les pirates – dans des conditions strictes – à tester leurs systèmes informatiques pour détecter les failles.

S’ils en trouvent un, ils sont payés et l’entreprise peut le réparer sans avoir à alerter les autorités.

Mais ces pirates n’ont pas approché Uber dans le cadre d’un stratagème. Ils ont fait irruption dans les systèmes de manière anonyme, ont volé des données et ont demandé une rançon à l’entreprise.

En effet, M. Sullivan est accusé d’avoir transformé un piratage sérieux en une prime de bogue de routine, ce qui ne valait donc pas la peine d’en informer les autorités ou son entreprise.

Le fait que les pirates eux-mêmes aient déjà plaidé coupable de la cyber-attaque peut ne pas aider le cas de M. Sullivan.

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page