L’ancien chef de la sécurité d’Uber, Joseph Sullivan, est inculpé par la justice californienne pour avoir tenté de dissimuler un piratage massif de données personnelles survenu en 2016. L’homme, accusé d’obstruction à la justice, devra répondre de ses actes face au tribunal de San Francisco, a-t-on appris ce jeudi 20 août 2020.

Une piratage de données qui remonte à 2016

En 2016, Uber a été victime d’un piratage massif : des hackers ont réussi à parcourir les bases de données internes de la société et ainsi s’accaparer les informations personnelles de 57 millions de passagers (adresses e-mail et numéros de téléphone) et de 600 000 conducteurs, avec des détails notamment sur leur permis de conduire.

Joseph Sullivan, alors chef de la sécurité pour l’entreprise VTC, aurait tenté de dissimuler cette cyberattaque aux yeux de la Federal Trade Commission (FTC), agence indépendante du gouvernement des États-Unis dont la mission principale est l’application du droit de la consommation et le contrôle des pratiques commerciales anticoncurrentielles telles que les monopoles déloyaux.

L’ex-chef de la sécurité d’Uber doit répondre de ses actes

Pour que cette attaque ne soit pas révélée, Joseph Sullivan aurait payé les coupables avec 100 000 dollars en bitcoin et leur aurait fait signer des accords de confidentialité. Il aurait également justifié le tout comme étant une récompense pour avoir trouvé un bug dans les systèmes d’Uber. Une question se pose toutefois : pourquoi Joseph Sullivan a-t-il voulu dissimuler cette cyberattaque ?

Selon Mario Scussel, agent spécial du FBI, cela serait lié à une première cyber-intrusion survenue en 2014, et qui avait eu de lourdes répercussions pour Uber. D’après un témoin, quand Joseph Sullivan a eut connaissance de la nouvelle cyberattaque de 2016, il aurait déclaré au cours d’une conversation privée qu’il ne pouvait pas croire qu’ils avaient laissé une autre brèche se produire, et que l’équipe devait s’assurer que l’affaire ne s’ébruite pas.

Sans surprise, et comme nous le savons aujourd’hui, le plan a échoué et la cyberattaque s’est fait connaître. En 2017, Dara Khosrowshahi, actuel PDG d’Uber, a pris la tête de l’entreprise VTC, succédant ainsi à Travis Kalanick. Lorsqu’il a appris la véritable nature de l’intrusion de la base de données, il a renvoyé Joseph Sullivan et rendu l’affaire publique.

Un porte-parole de la firme explique : « Nous continuons à coopérer totalement avec l’enquête du ministère de la Justice. Notre décision en 2017 de révéler l’incident était la chose à faire, et elle incarne nos principes de fonctionnement d’aujourd’hui : transparence, intégrité et responsabilité ».

Notons que selon les documents rassemblés par le tribunal de San Francisco, l’ancien chef de la sécurité avait menti à Khosrowshahi sur la raison du paiement de 100 000 dollars. Désormais, Joseph Sullivan est inculpé pour obstruction à la justice et risque pour cela jusqu’à 8 ans de prison s’il est reconnu coupable.