Posté le août 21, 2020 à 16:05

LE CHEF DE LA SÉCURITÉ D’UBER ACCUSÉ D’AVOIR DISSIMULÉ UN PIRATAGE INFORMATIQUE IMPORTANT EN 2016

Un ancien chef de la sécurité de l’entreprise de transport routier Uber, Joseph Sullivan, a été inculpé pour son rôle dans le piratage informatique de 2016 qui a révélé les données personnelles de 57 millions de conducteurs et de clients de l’entreprise. Il a été inculpé hier par le ministère américain de la justice, qui l’a accusé d’avoir tenté désespérément de dissimuler l’acte criminel et d’empêcher les autorités de le découvrir.

Sullivan, 52 ans, aurait pris des « mesures délibérées » pour empêcher la Commission fédérale du commerce d’être au courant de l’incident de piratage alors que la commission enquêtait sur une infraction antérieure.

Selon les informations disponibles, c’est la première fois qu’un responsable de la sécurité des informations d’une entreprise est inculpé pour avoir couvert un piratage informatique.

En tant qu’ancien procureur fédéral, Sullivan a prévu de régler le compte des hackers et leur a offert 100 000 dollars via le programme initié par Uber pour récompenser les chercheurs en sécurité qui les informent lorsqu’il y a une faille.

C’est le montant le plus élevé que la société de transport ait jamais payé à quelqu’un ou à un hacker par le biais du programme de prime de bug, qui n’était pas destiné à couvrir le vol de données sensibles.

M. Sullivan a occupé plusieurs postes de haut niveau dans le domaine de la sécurité au sein de grandes entreprises, notamment en tant qu’ancien chef de la sécurité de Facebook. Avant son inculpation, il a travaillé pour Cloudflare en tant que chef de la sécurité de l’information.

Sullivan affirme que ses collègues étaient au courant de l’incident

Lors de précédentes interviews, les responsables de la sécurité ont déclaré que le paiement d’Uber avait pour but d’amener les hackers à accepter de l’argent et à s’assurer que les informations volées soient détruites. Le programme garantit que les données volées ne poseront pas de problème car elles seront détruites en offrant une prime au hacker. Toutefois, cette mesure s’adressait aux chercheurs et aux hackers éthiques, et non aux cybercriminels.

Dans la plainte, il a été révélé que Sullivan s’est assuré que les hackers signent des accords de non-divulgation qui stipulent qu’ils ne volent pas les données. La plainte alléguait également que Travis Kalanick, directeur général d’Uber, était au courant de la situation.

Mais la porte-parole de Kalanick a refusé de commenter. Le porte-parole de Sullivan a révélé qu’il n’y a pas de limite à l’accusation, et que Sullivan avait travaillé avec ses collègues sur l’affaire. Il a en outre déclaré que c’était le service juridique qui décidait des questions de divulgation et non Sullivan.

 « Sans les efforts de M. Sullivan et de son équipe, il est probable que les individus responsables de cet incident n’auraient jamais été identifiés », a défendu le porte-parole de Sullivan.

L’actuel PDG d’Uber, qui a succédé à Kalanich, Dara Khosrowshahi, a révélé le montant payé aux hackers. Après avoir appris l’étendue de la dissimulation, il a licencié Sullivan et son adjoint qui était également complaisant. Par la suite, l’entreprise de transport a versé 148 millions de dollars en règlement des réclamations à Washington et dans les 50 États américains. Des plaintes ont été déposées contre la société pour avoir tardé à révéler le piratage.

Sullivan est accusé d’avoir dissimulé l’attentat

L’affaire Uber servira d’avertissement au nombre croissant d’entreprises qui traitent directement avec les hackers. Beaucoup de ces entreprises ont un programme de primes similaire à celui d’Uber. Ce programme est considéré comme un moyen de maintenir les hackers dans les limites de la loi tout en offrant plus de sécurité à leurs serveurs. Cependant, tous les participants ne respectent pas les règles.

Comme dans le cas d’Uber, en plus d’attaquer Uber, les deux hackers responsables ont également attaqué d’autres entreprises. Selon l’agence, les attaques suivantes auraient pu être stoppées si Sullivan avait signalé le premier incident aux forces de l’ordre. Selon la plainte, l’action de Sullivan visant à dissimuler l’attaque d’Uber a permis le succès d’autres attaques par le même groupe de hackers.

L’affaire suggère également que les entreprises qui répondent aux demandes de rançon des hackers sont également tenues de signaler les pertes de données personnelles sensibles. En effet, même après que la rançon a été payée pour que les hackers suppriment les données volées, certains d’entre eux continuent à vendre ces mêmes données au réseau noir. En d’autres termes, il n’y a aucune garantie que les hackers s’en tiendront à leur parole et supprimeront les données après le paiement de la rançon.

C’est l’une des raisons pour lesquelles les services policiers exigent des entreprises qu’elles divulguent toute violation impliquant des données clients très sensibles. Dans le cas présent, M. Sullivan ne l’a pas fait car il a dissimulé l’attaque aux autorités, ce qui a conduit à des attaques ultérieures par les mêmes hackers.