Mercredi, un jury a déclaré l’ancien chef de la sécurité d’Uber, Joe Sullivan, coupable d’avoir caché une violation massive de données aux régulateurs fédéraux qui enquêtaient déjà sur la société de covoiturage pour une autre violation. Avec ce verdict, Sullivan est probablement devenu le premier dirigeant à être poursuivi pénalement pour un piratage, a rapporté le New York Times.
Un jury de six hommes et six femmes a commencé à délibérer vendredi dernier. Après 19 heures, ils ont décidé que Sullivan était coupable d’un chef d’entrave à l’enquête de la Federal Trade Commission et « d’un chef d’erreur de prise de vue ou d’avoir agi pour dissimuler un crime aux autorités », selon le Times.
L’équipe juridique de Sullivan n’a pas immédiatement fourni de commentaires à Ars, mais l’un de ses avocats, David Angeli, a expliqué au NYT comment Sullivan avait reçu le verdict. « Bien que nous ne soyons évidemment pas d’accord avec le verdict du jury, nous apprécions leur dévouement et leurs efforts dans cette affaire », a déclaré Angeli au journal. « M. Le seul objectif de Sullivan – dans cet incident et tout au long de sa brillante carrière – a été d’assurer la sécurité des données personnelles des personnes sur Internet.
Lorsque Sullivan a appris pour la première fois la deuxième violation de données, il a déguisé l’activité illégale en payant les pirates via le programme de primes aux bogues d’Uber. Uber venait d’annoncer le programme en mars 2016 en coordination avec HackerOne, une entreprise de sécurité largement utilisée dont les valeurs d’entreprise exhortent les dirigeants comme Sullivan à « par défaut à la divulgation » et à demander « pourquoi garder cela privé ? » au lieu de « pourquoi rendre cela public ? » Il a fallu moins d’un an à Sullivan pour utiliser le programme Bug Bounty de HackerOne afin d’éviter de divulguer un piratage.
HackerOne n’a pas immédiatement répondu à la demande de commentaire d’Ars. [Update: A HackerOne spokesperson told Ars, « HackerOne has made the executive decision not to comment. »]
Le rapport du Times a suggéré que la condamnation de Sullivan pourrait changer la façon dont toutes les entreprises gèrent les violations de données à l’avenir.
Uber n’a fourni aucun commentaire au NYT ou à Ars. Auparavant, un porte-parole d’Uber a dirigé Ars vers un article de blog dans lequel le PDG d’Uber, Dara Khosrowshahi, expliquait comment l’entreprise avait mis à jour ses pratiques de sécurité depuis que la dissimulation de Sullivan avait été révélée. Ces efforts comprenaient la consultation d’un expert externe en cybersécurité sur la manière de restructurer l’équipe de sécurité d’Uber et de mettre en œuvre des processus pour empêcher la direction de refaire la même erreur.
« Rien de tout cela n’aurait dû arriver, et je ne m’excuserai pas », a écrit Khosrowshahi en 2017. « Bien que je ne puisse pas effacer le passé, je peux m’engager au nom de chaque employé d’Uber à apprendre de nos erreurs. Nous changeons notre façon de faire des affaires, en plaçant l’intégrité au cœur de chaque décision que nous prenons et en travaillant dur pour gagner la confiance de nos clients.
Le Times a inclus dans son rapport une déclaration de Stephanie M. Hinds, l’avocate américaine du district nord de Californie, où le cas de Sullivan a été entendu, suggérant que Sullivan devrait servir d’exemple sur la façon de ne pas gérer un piratage.
« Nous ne tolérerons pas la dissimulation d’informations importantes au public par des dirigeants d’entreprise plus soucieux de protéger leur réputation et celle de leurs employeurs que de protéger les utilisateurs », a déclaré Hinds. « Lorsqu’une telle conduite viole la loi fédérale, elle sera poursuivie. »