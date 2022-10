Joe Sullivan a tenté de supprimer une fuite qui a exposé plus de 50 millions d’utilisateurs de l’entreprise, a déclaré le ministère américain de la Justice.

L’ancien responsable de la sécurité d’Uber a été reconnu coupable d’avoir tenté de dissimuler une violation de données en 2016, qui a touché des dizaines de millions d’utilisateurs, ainsi que d’avoir payé des pirates pour garder un œil sur l’affaire, a annoncé mercredi le ministère américain de la Justice.

Joe Sullivan a été reconnu coupable par un jury de San Francisco d’avoir fait obstruction à une enquête de la Federal Trade Commission (FTC) et d’avoir tenté de dissimuler une faille de sécurité qui a entraîné le vol d’environ 57 millions de données d’utilisateurs d’Uber et de 600 000 numéros de permis de conduire. La peine encourue par l’ex-dirigeant d’Uber n’est pas claire, mais il risque jusqu’à huit ans de prison.

Selon le ministère de la Justice, Sullivan a été embauché plusieurs mois avant la violation. En novembre 2016, suite à l’attaque réussie contre Uber, des pirates ont contacté le chef de la sécurité et ont exigé une énorme rançon pour la suppression des données volées.

Cependant, au lieu de signaler l’attaque aux autorités, Sullivan a fait tout ce qu’il pouvait pour “empêcher toute connaissance de la violation d’atteindre la FTC,” une déclaration du DOJ lue. Selon le ministère, à un moment donné, il a dit à son subordonné qu’ils “Je ne peux pas laisser ça sortir.”

Suite à l’attaque, l’ancien dirigeant a versé aux pirates 100 000 $ en bitcoins tandis que les coupables ont signé des accords de non-divulgation dans lesquels ils ont promis de ne partager les informations sur le piratage avec personne. Plus tard, les deux pirates ont été identifiés, poursuivis et ont plaidé coupables à l’attaque.

L’entreprise n’a pas divulgué publiquement l’incident ni informé la FTC jusqu’à ce que la nouvelle direction prenne les rênes en 2017. Bien que Sullivan ait tenté de mentir au nouveau PDG et d’externaliser les avocats, qui enquêtaient sur le piratage, la direction de l’entreprise a finalement appris le vérité.

En novembre 2017, il a rendu ses conclusions publiques, déclenchant un certain nombre de poursuites contre l’entreprise. Le géant du covoiturage a dû payer 148 millions de dollars pour régler une affaire de dissimulation de la violation de données et a été condamné à une amende de près de 1,2 million de dollars au total par les autorités britanniques et néerlandaises de protection des données.

“Le message du verdict de culpabilité d’aujourd’hui est clair : les entreprises qui stockent les données de leurs clients ont la responsabilité de protéger ces données et de faire ce qu’il faut en cas de violation”, a déclaré l’agent spécial du FBI en charge, Robert Tripp.