Vol de données d’Uber en 2016 : l’ex-chef de la sécurité jugé coupable

En 2016, à la suite d’une négligence des développeurs, des hackers parviennent à dérober à Uber les données de 50 millions de clients et de 7 millions de chauffeurs, incluant noms, adresses e-mail, numéros de téléphone et permis de conduire.

Les pirates contactent ensuite, via un mail anonyme, Joseph Sullivan, directeur de la sécurité de la firme. Ce dernier les oriente alors vers le programme de bug bounty d’Uber, dont la récompense maximale est de 10 000 dollars. Après des négociations, les hackers s’engagent à ne rien divulguer et signent un accord de confidentialité, contre le paiement de 100 000 dollars.

En 2017, le nouveau CEO d’Uber, Dara Khosrowshahi, rend public ce vol de données, et licencie Joseph Sullivan. En juillet 2022, le service de VTC a officiellement reconnu qu’il avait dissimulé le vol de données.

Ce 5 octobre 2022, la justice américaine a jugé Joseph Sullivan coupable de « dissimulation de crime », pour n’avoir pas signalé la faille et le vol de données à la FTC. La peine sera définie plus tard par la cour. Joseph Sullivan, qui a lancé en amont plusieurs procédures pouvant conduire à l’annulation du verdict, peut faire appel.

La plupart des analystes s’attendaient à un acquittement, car Joseph Sullivan avait constamment informé le CEO de l’époque, Travis Kalanick, de ses agissements, et plusieurs autres responsables d’Uber (qui n’ont jamais été inquiétés par la justice). C’est la première fois qu’un responsable de la sécurité est jugé pénalement coupable d’avoir négocié en secret avec des pirates informatiques.