Joseph Sullivan, l’ancien responsable de la sécurité d’Uber Technologies, a été condamné à trois ans de probation par un tribunal fédéral de San Francisco, pour obstruction criminelle liée à une violation de données en 2016 chez le géant du covoiturage.
Le juge de district William Orrick a prononcé la peine jeudi, un verdict tant attendu dans une affaire qui a divisé l’opinion au sein de l’industrie de la cybersécurité. Le juge Orrick a déclaré qu’en raison du caractère de M. Sullivan, de la nature inhabituelle de l’affaire et qu’il s’agissait de la première du genre, il avait fait preuve de clémence à M. Sullivan, mais il a déclaré que les responsables de la sécurité de l’information ne devraient pas s’attendre à ce que dans les cas futurs. .
“S’il y en a plus, les gens devraient s’attendre à passer du temps en garde à vue, quoi qu’il arrive, et j’espère que tout le monde ici le reconnaît”, a-t-il déclaré. En plus de la probation, M. Sullivan doit également effectuer 200 heures de service communautaire.
M. Sullivan, qui avait parfois du mal à parler de manière visible et audible, avait auparavant exprimé des remords pour ses actes et déclaré qu’il conseillait souvent aux autres chefs de la sécurité de ne pas commettre les mêmes erreurs que lui.
« Nous sommes très reconnaissants que le tribunal ait consacré autant de temps et de réflexion à la décision. Je serai éternellement reconnaissant aux centaines de personnes qui ont écrit et signé des lettres de soutien », a déclaré M. Sullivan dans un communiqué à la suite de la décision.
Le ministère de la Justice n’a pas immédiatement répondu à une demande de commentaire.
Un jury a déclaré M. Sullivan, un ancien procureur fédéral, coupable d’accusations d’entrave criminelle en octobre, résultant d’un défaut de signaler une cyber-intrusion chez Uber en 2016 aux autorités fédérales. Des pirates ont approché Uber cette année-là alors qu’il faisait l’objet d’une enquête de la Federal Trade Commission. Ils ont déclaré avoir obtenu environ 57 millions d’enregistrements, dont certains contenaient des données clients sensibles, grâce à une “vulnérabilité” de sa technologie, et ont exigé un paiement.
L’équipe de M. Sullivan a finalement payé les pirates 100 000 $ et l’a qualifié de « prime de bogue », une récompense parfois accordée par les entreprises aux chercheurs en sécurité qui trouvent des failles dans les logiciels.
M. Sullivan a été licencié par Uber en 2017 après que Dara Khosrowshahi a pris ses fonctions de directeur général et ordonné une enquête sur l’incident. Il a été inculpé par les procureurs fédéraux en 2020. Uber n’a pas répondu aux demandes de commentaires.
Les procureurs ont allégué que le paiement était une tentative de M. Sullivan de dissimuler l’incident et qu’il avait pris des mesures pour empêcher qu’il ne soit signalé à la FTC. Le gouvernement a recommandé une peine de 15 mois de prison.
L’industrie de la cybersécurité a suivi de près le cas de M. Sullivan, qui est un rare exemple d’un responsable de la sécurité accusé à la suite d’un incident. Une peine sévère, ont déclaré les chefs de la sécurité actuels et anciens dans des lettres soumises au tribunal, pourrait créer un effet dissuasif lorsque les dirigeants font un rapport excessif par peur d’être inculpés. Les procureurs ont déclaré dans des notes de détermination de la peine que cette affaire était axée sur des actes répréhensibles spécifiques, et non sur un chef de la sécurité commettant des erreurs de bonne foi.
Bien qu’il n’ait pas prononcé de peine de prison, le juge Orrick s’est dit préoccupé par le fait que de nombreux professionnels de la cybersécurité ne saisissent toujours pas à quel point l’affaire était grave.
“Dans la mesure où quelqu’un pense que ce n’était pas le cas, que cela avait à voir avec des appels au jugement ou quelque chose comme ça, ils ne comprennent pas ce qui s’est passé dans cette affaire”, a-t-il déclaré.
Écrivez à James Rundle à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
