Un ex dirigeant d’Uber condamné pour dissimulation d’une violation de données en 2016

L’ancien responsable de la sécurité des systèmes d’information (RSSI) d’Uber Technologies, Joe Sullivan, a été reconnu coupable par un jury d’avoir dissimulé une violation de données de 2016 à la Federal Trade Commission des États-Unis.

Bloomberg News a rapporté que le jury de San Francisco avait rejeté sa défense selon laquelle d’autres dirigeants étaient au courant de la dissimulation et en étaient responsables, le condamnant pour obstruction à une enquête gouvernementale et dissimulation du vol de données personnelles de 50 millions de clients et 7 millions de conducteurs. Cela comprenait plus de 800 000 Canadiens.

Sullivan a été accusé d’avoir discrètement fait en sorte qu’Uber paie 100 000 dollars américains en bitcoins aux pirates pour supprimer les données volées, sous le couvert d’un programme utilisé pour récompenser les chercheurs en sécurité pour l’identification des vulnérabilités, connu sous le nom de « prime au bogue », selon le reportage. En retour, les deux pirates ont accepté de ne pas divulguer qu’ils avaient volé les données. Les pirates ont par la suite plaidé coupables pour leur rôle dans l’incident.

Le piratage d’octobre 2016 est demeuré secret jusqu’en novembre 2017, date à laquelle il a été révélé par le nouveau président directeur-général (PDG), Dara Khosrowshahi.

L’accusation a noté que Sullivan avait envoyé un courriel au PDG d’Uber à propos de ce piratage 12 heures après sa découverte.

Depuis, l’incident hante Uber. En 2018, la société a versé 148 millions de dollars dans le cadre d’un règlement civil aux 50 États et à Washington DC pour la dissimulation.

Par ailleurs, en juillet, Uber a conclu un accord de non-poursuite avec les procureurs fédéraux pour résoudre une enquête criminelle selon laquelle la société de covoiturage aurait trompé les consommateurs sur ses pratiques en matière de confidentialité et de sécurité des données.

La peine de Sullivan pour la condamnation de mercredi sera déterminée à une date ultérieure.

Dans un commentaire, David Lindner, RSSI chez Contrast Security, a déclaré que cette situation était extrêmement malheureuse pour Uber et les communautés juridiques/de sécurité au sens large. « Ce qu’Uber a fait, c’est dissimuler une brèche en la cachant comme une soumission de prime de bogue », a-t-il déclaré dans un communiqué. « La condamnation du chef de la sécurité est un bon début, mais pour ce qui a été divulgué, il devrait y avoir encore plus de responsabilité des dirigeants et même des membres du conseil d’administration. »

« La transparence est la seule voie à suivre pour les organisations. Transparence des violations, transparence des vulnérabilités connues et transparence des composants utilisés pour construire leur logiciel. Uber n’a pas réussi à être transparent et cela s’est traduit non seulement par une amende mais aussi par la condamnation de la personne derrière les décisions. Nous en verrons davantage si nous ne passons pas rapidement à la transparence. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Uber affirme que la compromission des informations d’identification d’un fournisseur a conduit à une violation de données

Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d'identification d'un sous-traitant externe était le point de départ de l'attaque. Il pense également que l'agresseur était lié au gang d'extorsion Lapsus$.

Un employé d’Uber aurait donné son mot de passe à un usurpateur informatique

Un pirate informatique de 18 ans revendique la responsabilité de ce qui est considéré comme une énorme violation des contrôles de sécurité chez Uber.

Balado Hashtag Tendances, 21 juillet 2022 — Arnaque sur Google, Microsoft AirSim, les chiffres de Netflix et poursuites contre Uber

Balado Hashtag Tendances, 21 juillet 2022 — Une micro-arnaque sur Google, le projet AirSim de Microsoft, des résultats meilleurs que prévus pour Netflix et des poursuites contre Uber.

Uber permet de réserver un trajet à partir de l’aéroport 30 jours à l’avance

Maintenant que les voyages sont en grande partie de retour à la normale, Uber a déterminé que le moment était venu d'étendre la disponibilité de sa fonction de réservation aux aéroports, et deux aéroports canadiens sont sur la liste !

Le Bureau de la concurrence conclut une entente avec Rogers et Shaw

Le Bureau de la concurrence, qui cherche à bloquer le projet d'acquisition de Shaw par Rogers, une transaction d'une valeur de 26 G$, afin de protéger les Canadiens contre des prix plus élevés, une qualité de service amoindrie et une perte de choix, particulièrement en ce qui a trait aux services sans fil a conclu une entente avec les deux sociétés.