Ce mercredi 5 octobre 2022, Joseph Sullivan, ancien chef de la sécurité d’Uber a été reconnu coupable d’avoir dissimulé une cyberattaque en 2016. Cette cyberattaque a touché 57 millions d’utilisateurs et 7 millions de chauffeurs sur la plateforme.
Une longue histoire, qui commence en 2016
En 2017, Bloomberg avait qu’Uber, au cours de l’année 2016, avait versé 100 000 dollars à un pirate pour qu’il supprime des données récupérées sur les serveurs de l’entreprise. La cyberattaque avait touché plus de 50 millions de clients, et 7 millions de conducteurs. Le pirate avait notamment réussi à récupérer plus de 600 000 numéros de permis de conduire, mais pas les numéros de sécurité sociale et de carte de crédit. Joseph Sullivan, responsable de la sécurité informatique et le PDG de l’époque, Travis Kalanick, avaient tenu à ce que l’information reste secrète. La FTC avait ouvert une enquête après la publication de l’article.
En septembre 2018, à la conclusion d’une enquête menée par 50 États du pays, Uber est condamné à payer une amende de 148 millions de dollars. Un montant qui n’avait encore jamais été infligé à une entreprise américaine.
Uber n’a pas été condamné que sur le sol américain. En France, la justice a condamné l’entreprise de VTC à une amende de 400 000 euros pour avoir caché ce piratage. Les Pays-Bas et le Royaume-Uni ont également sanctionné l’entreprise avec des amendes.
Mais en août 2020, Joseph Sullivan est inculpé par la justice californienne, indépendamment de son ancien employeur, et accusé d’avoir tenté de camoufler le piratage. Deux ans plus tard, dans un autre rendez-vous avec la justice américaine, Uber assume ses erreurs. L’entreprise réussit alors à ne pas être poursuivie grâce à ses aveux et l’accord conclu en 2018.
Ce mercredi 5 octobre 2022, Joseph Sullivan a été reconnu coupable des chefs d'inculpation retenus contre lui. La justice a conclu que ce n'est que lorsque Dara Khosrowshahi a repris le poste de PDG que la FTC a été informée. La sanction n’est pas encore décidée, mais l’ancien chef de la sécurité informatique risque cinq ans de prison pour obstruction, et jusqu'à trois ans supplémentaires pour non-dénonciation d'un crime.
Uber sert de test dans le milieu de la cybersécurité
Ce procès a été suivi de près dans le milieu de la cybersécurité. Il est considéré comme un test sur la vision que porte la justice américaine sur les responsabilités et les obligations des responsables informatique.
Il est extrêmement rare, selon les spécialistes, que les dirigeants fassent l'objet de poursuites pénales à la suite d'un piratage. Auparavant, les dirigeants n’étaient même pas licenciés pour ce type d’affaires. Cet effet boule de neige judiciaire côté Uber devrait désormais dissuader les entreprises de cacher leur fuite de données. L’actualité récente montre qu’Uber a appris de ses erreurs, et n’hésite plus à communiquer sur tout risque de violation de données.
