L’ancien chef de la sécurité d’Uber reconnu coupable d’avoir dissimulé une violation de données | Uber

Un jury de San Francisco a déclaré l’ancien responsable de la sécurité d’Uber, Joe Sullivan, coupable d’entrave criminelle pour avoir omis de signaler un incident de cybersécurité en 2016 aux autorités.

Sullivan, qui a été licencié d’Uber en 2017, a été reconnu coupable d’entrave à la justice et de dissimulation délibérée de crime, a confirmé mercredi un porte-parole du ministère américain de la Justice.

“Sullivan s’est efforcé de cacher la violation de données à la Federal Trade Commission (FTC) et a pris des mesures pour empêcher les pirates d’être arrêtés”, a déclaré Stephanie Hinds, avocate américaine du district nord de la Californie.

L’affaire était considérée comme un précédent important concernant la culpabilité des membres du personnel de sécurité et des cadres lors de la gestion des incidents de cybersécurité, une préoccupation qui n’a fait que croître à un moment où les rapports d’attaques de ransomwares ont augmenté et les primes d’assurance de cybersécurité ont augmenté.

L’affaire concerne une violation des systèmes d’Uber qui a affecté les données de 57 millions de passagers et de chauffeurs.

La violation a eu lieu en 2016, mais Uber ne l’a divulgué publiquement qu’un an plus tard. La divulgation publique des failles de sécurité est exigée par la loi dans de nombreux États américains, la plupart des réglementations exigeant que la notification soit faite « dans les meilleurs délais et sans délai déraisonnable ».

Les révélations d’Uber ont déclenché plusieurs enquêtes fédérales et étatiques. En septembre 2018, Uber a payé 148 millions de dollars (130 millions de livres sterling) pour régler les réclamations des 50 États américains et de Washington DC selon lesquelles il était trop lent pour divulguer le piratage. Les deux pirates impliqués dans l’année ont plaidé coupables d’avoir piraté Uber, puis d’avoir extorqué le programme de recherche sur la sécurité “bug bounty” d’Uber l’année suivante.

Lire aussi  JPMorgan estime que les pertes des banques numériques à l'étranger pourraient dépasser 1 milliard de dollars dans les années à venir

Le ministère de la Justice a déposé des accusations criminelles contre Sullivan en 2020. À l’époque, les procureurs ont allégué qu’il s’était arrangé pour payer aux pirates 100 000 $ (87 964 £) en bitcoins et leur avait fait signer des accords de non-divulgation qui déclaraient à tort qu’ils n’avaient pas volé de données.

Sullivan a également été accusé d’avoir dissimulé des informations aux responsables d’Uber qui auraient pu divulguer la violation à la FTC, qui avait évalué la sécurité des données de la société basée à San Francisco à la suite d’une violation en 2014.

En juillet, Uber a accepté la responsabilité de dissimuler la violation et a accepté de coopérer avec le ministère public de Sullivan pour son rôle présumé dans la dissimulation du piratage, dans le cadre d’un accord avec les procureurs américains pour éviter des poursuites pénales.

L’avocat de Sullivan, David Angeli, et la FTC n’ont pas immédiatement répondu à une demande de commentaire.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick