Après que la Federal Trade Commission a commencé à enquêter sur une violation massive des données d’Uber en 2016, la société de technologie a été touchée par une autre violation qui était apparemment tout aussi préoccupante. Plutôt que de signaler la deuxième violation de données à la FTC et de risquer d’embarrasser davantage le public, Joe Sullivan, alors chef de la sécurité d’Uber, a consulté des avocats, puis a négocié avec les pirates. Il aurait conclu un accord en vertu duquel Uber aurait versé aux pirates une « prime de bogue » de 100 000 $ pour supprimer les données, puis aurait prétendu que la violation de données faisait partie d’un test planifié de la sécurité d’Uber et avait fait signer aux pirates un accord de non-divulgation.
Maintenant, Sullivan fait face à des accusations d’entrave criminelle, et le Wall Street Journal rapporte que son cas a sonné l’alarme pour les chefs de la sécurité des entreprises technologiques du monde entier, qui pensent que Sullivan ne devrait pas prendre la responsabilité d’Uber. Un ancien chef de la sécurité d’AT&T, Edward Amoroso, a déclaré au Journal que « de nombreux hauts responsables de la sécurité pensent » que Sullivan « n’a rien fait de mal ».
Amoroso a fait valoir qu’en criminalisant les décisions de signalement des chefs de la sécurité comme Sullivan, le ministère américain de la Justice risque de faire reculer l’ensemble de la profession de la sécurité. Il a déclaré qu’il valait mieux laisser le débat aux communautés de sécurité, et non à un tribunal, pour décider qui est responsable. Ars n’a pas pu joindre immédiatement Amoroso pour un commentaire supplémentaire.
Le DOJ n’est pas d’accord. L’avocat du ministère de la Justice, Andrew Dawson, a fait écho aux procureurs dans l’affaire qui disent que leur principal problème est que Sullivan n’a pas communiqué la deuxième violation lors d’une enquête active de la FTC sur les failles de sécurité entourant la première violation de données volumineuses d’Uber.
« Il s’agit d’une affaire de dissimulation, de gain et de mensonges », a déclaré Dawson au tribunal mercredi, selon le WSJ.
Uber a refusé de commenter Ars ou le WSJ. Le DOJ a déclaré à Ars qu’il ne pouvait pas commenter à ce stade du litige. Ars n’a pas pu joindre immédiatement les avocats de Sullivan pour des commentaires supplémentaires.
Cacher des hackers derrière la « prime aux bogues » d’Uber
Le WSJ a rapporté que les pirates à l’origine de la deuxième violation de données, Brandon Charles Glover et Vasile Mereacre, ont déjà plaidé coupables de piratage et d’extorsion. Le tribunal décidera toujours si Sullivan a fait quelque chose de mal en prenant les mesures qu’il a prises après avoir cédé aux demandes des pirates pour une « compensation élevée ».
Les dossiers judiciaires examinés par le WSJ ont montré que l’équipe de Sullivan avait décidé de traiter l’extorsion de 100 000 $ des pirates pour supprimer 57 millions d’enregistrements comme « un exemple de chercheurs en sécurité signalant un bogue ».
Uber engage et paie généralement des chercheurs en sécurité via un « programme de primes de bogues » pour découvrir les vulnérabilités avant que les pirates ne le fassent. Dans ce cas, Uber a demandé aux pirates de rejoindre leur programme de primes aux bogues. Ensuite, ils ont demandé aux pirates de signer des NDA avant qu’Uber ne leur achemine les 100 000 $ en bitcoins.
Les procureurs ont déclaré que cela visait à dissimuler l’activité illégale afin que la FTC ne la considère que comme un paiement valide via le programme de primes aux bogues. Dawson a déclaré que Sullivan n’avait pris ces mesures que parce que l’équipe juridique avait dit à son équipe que « l’affaire pouvait être traitée comme une prime de bogue et n’était pas une violation de données à signaler si les pirates supprimaient les données et signaient un accord de non-divulgation ».
Mercredi, l’avocat de Sullivan, David Angeli, a déclaré au tribunal que même si le tribunal désapprouvait de cacher le gain de violation de données en l’enregistrant en interne en tant que prime de bogue, Sullivan ne devrait pas faire face à des accusations criminelles car il n’était pas le seul à prendre ces mesures.
Dans les jours qui ont suivi le premier contact avec les pirates, Sullivan a consulté « plus de 30 autres employés d’Uber, dont le directeur général de l’époque, Travis Kalanick, et l’équipe juridique de l’entreprise » pour planifier la réponse d’Uber à l’incident. Angeli a également déclaré que Sullivan n’avait jamais été en contact direct avec la FTC au cours de son enquête, mais avait plutôt communiqué par l’intermédiaire d’avocats.
Risques de sécurité permanents
En 2017, Uber a licencié Sullivan, mais aujourd’hui, Sullivan est toujours le chef de la sécurité d’une entreprise de haute technologie, actuellement en congé de ses fonctions de chef de la sécurité de Cloudflare. (Cloudflare n’a pas fourni à Ars de commentaires sur le procès.) Le Journal rapporte qu’une dernière question se pose aux tribunaux concernant la négligence apparente de Sullivan en tant que chef de la sécurité qui aurait dissimulé une violation de données.
Après que les pirates aient été payés, il a été découvert grâce à leur accord de plaidoyer suite à leur condamnation que les données avaient été partagées avec une tierce personne, quelqu’un qui n’avait jamais conclu d’accord avec Uber pour supprimer les données. Connue sous le nom de « Individual One » dans les archives judiciaires, cette personne représente les vulnérabilités persistantes qui peuvent subsister lorsque les entreprises technologiques traitent des violations de données sans surveillance, ce qui explique en grande partie pourquoi la FTC a enquêté sur Uber en premier lieu.
Dans le règlement final de la FTC en 2018, Uber a accepté des conditions stipulant qu’il « pourrait être passible de sanctions civiles s’il ne notifiait pas à la FTC certains incidents futurs impliquant un accès non autorisé aux informations des consommateurs ».
S’il est reconnu coupable, Sullivan encourt des peines maximales pour entrave à la justice de cinq ans de prison et une amende maximale de 250 000 $. Il a également été accusé d’avoir dissimulé un crime, passible de peines maximales de trois ans de prison et éventuellement d’une autre amende maximale de 250 000 $.