L’ex-chef de la sécurité d’Uber aurait soudoyé des pirates pour cacher un vol de données massif

«La Silicon Valley ce n’est pas le Far West», lâche le procureur américain David Anderson au sujet de la récente mise en accusation de l'ex-chef de la sécurité d’Uber. Il est reproché à Joe Sullivan, licencié fin 2017, d'avoir tenté de dissimuler aux autorités le vol des données de 57 millions d'utilisateurs et chauffeurs inscrits sur la plateforme VTC.

Selon le communiqué du Département de justice de Californie du Nord, l'équipe de sécurité IT dirigée par Joe Sullivan a constaté en novembre 2016 que le système d’Uber avait été piraté. Au lieu d’en référer aux autorités, l’ex-cadre a pris différentes mesures pour cacher les faits. Il a notamment cherché à soudoyer les pirates en les payant via le programme de Bug Bounty (chasse aux bugs par des hackers éthiques tiers) de la compagnie. L'équivalent de 100’000 dollars en Bitcoin ont été déboursés. «En outre, M. Sullivan a cherché à faire signer aux pirates des accords de non-divulgation. Ces accords contenaient une fausse déclaration selon laquelle les pirates ne prenaient ou ne stockaient aucune donnée», précise le communiqué. La manœuvre n’a toutefois pas échappé à la nouvelle direction d’Uber suite à la prise de fonction de Dara Khosrowshahi au poste de CEO. En novembre 2017, la compagnie californienne a licencié Joe Sullivan et révélé publiquement l'incident. Uber a depuis coopéré à l'enquête.

Dans sa déclaration au média en ligne The Verge, l’avocat de Joe Sullivan met en avant l'expertise de son client, observant que sans lui et son équipe, il est «probable que les individus responsables de cet incident n'auraient jamais été identifiés». Il n’aurait en outre pas décidé seul de dissimuler la cyberattaque mais aurait suivi les recommandations du service juridique de la compagnie. Joe Sullivan est aujourd'hui Chief Security Officer chez Cloudflare.