Joseph Sullivan, l’ancien responsable de la sécurité informatique d’Uber, a été jugé coupable d’avoir dissimulé en 2016 une cyberattaque qui avait permis à des pirates de mettre la main sur des données personnelles d’environ 57 millions d’utilisateurs de la plateforme. Il risque plusieurs années de prison pour ne pas avoir signalé l’événement aux autorités fédérales à l’époque.
Le piratage d’Uber refait parler de lui
Le procès a été suivi de près dans le milieu de la cybersécurité, car il est considéré comme un test sur la vision qu’a la justice américaine des responsabilités et des obligations des responsables de ce domaine au sein des entreprises. Le verdict « constitue un précédent significatif, qui crée une onde de choc dans notre communauté », a commenté Casey Ellis, le fondateur de Bugcrowd, une société californienne spécialisée dans la cybersécurité. « Cela montre la responsabilité personnelle que prennent les responsables de la sécurité informatique », a-t-il ajouté.
Selon l’acte d’accusation, Joseph Sullivan, licencié en novembre 2017, avait également organisé le versement d’une rançon de 100 000 dollars aux hackers à l’origine de l’attaque. Les données volées comprenaient des noms, des adresses e-mail et des numéros de téléphone de millions de passagers, ainsi que les noms et permis de conduire de quelque 600 000 chauffeurs, selon Uber.
L’affaire n’avait été révélée qu’un an plus tard, la société de VTC passant alors un accord amiable avec les procureurs de 50 États américains, intégrant 148 millions de dollars d’indemnités au total pour avoir tardé à dévoiler l’attaque au régulateur ainsi qu’au grand public.
En 2018, la France a condamné Uber à une amende de 400 000 euros pour avoir caché ce piratage. Les Pays-Bas et le Royaume-Uni ont également sanctionné l’entreprise avec des amendes.
Identifiés par les autorités américaines, les deux pirates à l’origine de la cyberattaque ont été interpellés et ont plaidé coupables d’extorsion devant un juge fédéral de Californie en 2019.
