Une plainte pénale déposée jeudi devant un tribunal fédéral vise Joseph Sullivan, ancien responsable de la sécurité chez Uber. Selon le département de la Justice américain , Sullivan aurait tenté de dissimuler à la Commission fédérale du commerce (FTC) une fuite de données chez Uber survenue il y a quatre ans. Il aurait versé une somme à six chiffres en Bitcoin aux pirates informatiques.
Comment Sullivan a tenté de dissimuler la fuite de données d'Uber en 2016
Sullivan, âgé de 52 ans, a travaillé chez Uber, la célèbre entreprise américaine de transport avec chauffeur, d'avril 2015 à novembre 2017. Le 14 novembre 2016, alors qu'il était encore en poste, deux pirates informatiques l'ont contacté, affirmant avoir piraté les systèmes de l'entreprise et y avoir accès. Il est à noter qu'Uber avait déjà subi une attaque similaire en 2014, et Sullivan avait signalé cette fuite de données à la Commission fédérale du commerce (FTC).
En 2016, alors qu'il tentait encore de résoudre les problèmes liés au piratage de 2014, les pirates l'ont contacté au sujet du récent piratage. Sullivan aurait choisi de dissimuler la fuite de données d'Uber à la FTC en 2016, même après avoir confirmé que les données de l'entreprise avaient bel et bien été compromises. Les données en question contenaient des informations personnellesdentd'identifier environ 57 millions de chauffeurs Uber, ainsi que les utilisateurs du réseau.
Les pirates informatiques ont exigé une somme à six chiffres pour acheter leur silence, ce que Sullivan a accepté. Cependant, comme indiqué dans la plainte pénale, il a délibérément planifié le paiement afin de dissimuler le récent piratage à la FTC.
Sullivan a délibérément cherché à dissimuler la violation de données d'Uber
Dans un premier temps, Sullivan a tenté de soudoyer les pirates informatiques via un programme de primes aux bogues. Selon la plainte, il leur a versé l'équivalent de 100 000 $ en Bitcoin Il a demandé au pirate informatique de leur fournir des informations, bien qu'il ignorât alors leurs véritables identités. Il leur a également demandé de signer un accord de confidentialité, affirmant mensongèrement que les pirates n'avaient obtenu aucune donnée. La nouvelle direction d'Uber a eu connaissance du piratage en 2016 et l'a signalé à la FTC et au public.
En attendant sa première comparution devant le tribunal fédéral, le rapport du ministère de la Justice résume :
« Sullivan est accusé d'entrave à la justice, en violation de l'article 1505 du titre 18 du code des États-Unis ; et de non-dénonciation de crime, en violation de l'article 4 du titre 18 du code des États-Unis. »
