La poursuite d'un ancien responsable de la sécurité chez Uber pour sa gestion d'un piratage massif a inquiété d'autres acteurs du secteur d'être tenus personnellement responsables des décisions prises au travail.
Un jury a déclaré mercredi l'ancien chef de la sécurité d'Uber coupable de crimes fédéraux pour avoir dissimulé un piratage massif qui a compromis les informations personnelles des utilisateurs et des conducteurs, selon les médias américains.
Joseph Sullivan a été reconnu coupable d'entrave au travail de la Federal Trade Commission et de ne pas avoir informé les autorités d'un crime lorsqu'il a caché un piratage de 2016 au lieu de le signaler, selon les médias.
Sullivan pourrait être condamné à une peine de prison.
Sullivan a cherché à payer les pirates en acheminant de l'argent par le biais d'un programme "bug bounty" qui récompense les développeurs pour avoir révélé des vulnérabilités de sécurité sans faire de mal, selon la plainte pénale.
Uber a payé aux pirates 100 000 $ en bitcoin en décembre 2016, et Sullivan voulait qu'ils signent des accords de non-divulgation promettant de garder le silence sur l'affaire, ont déclaré les procureurs.
Sullivan a été directeur de la sécurité d'Uber d'avril 2015 à novembre 2017.
La plainte pénale soutient que Sullivan a trompé le nouveau directeur général d'Uber, Dara Khosrowshahi, nommé à la mi-2017 pour remplacer Travis Kalanick, au sujet de l'infraction.
"La Silicon Valley n'est pas le Far West", a déclaré le procureur américain David Anderson pour le district nord de la Californie dans un communiqué lors du dépôt des accusations.
"Nous ne tolérerons pas les dissimulations d'entreprises. Nous ne tolérerons pas les paiements clandestins illégaux."
Selon Khosrowshahi, deux membres de l'équipe de sécurité de l'information d'Uber qui ont "dirigé la réponse", qui consistait notamment à ne pas alerter les utilisateurs de la violation de données, ont été licenciés de la société basée à San Francisco.
Le chef d'Uber a déclaré qu'il avait appris que des étrangers avaient pénétré par effraction dans un serveur basé sur le cloud utilisé par l'entreprise pour les données et avaient téléchargé une quantité importante d'informations.
Selon Uber, les fichiers volés comprenaient les noms, les adresses e-mail et les numéros de téléphone portable de millions de passagers, ainsi que les noms et les informations sur les permis de conduire de quelque 600 000 conducteurs.
Le co-fondateur et chef évincé Kalanick a été informé de la brèche peu de temps après sa découverte, mais elle n'a été rendue publique que lorsque Khosrowshahi a appris l'incident, selon une source de l'AFP.
Uber n'a pas répondu à une demande de commentaire sur le verdict.
Casey Ellis, fondateur et directeur technique de Bugcrowd, un leader basé à San Francisco dans le domaine de la cybersécurité participative, a déclaré :"Il s'agit d'un précédent important qui a déjà provoqué une onde de choc dans la communauté des RSSI (responsable de la sécurité de l'information).
"Cela met en évidence la responsabilité personnelle impliquée dans le fait d'être un CISO dans un environnement politique, juridique et d'attaquant dynamique."
© 2022AFP Les États-Unis accusent l'ancien chef de la sécurité d'Uber de dissimulation de piratage
