L’ancien chef de la sécurité informatique d’Uber, Joe Sullivan, vient d’être jugé coupable d’avoir dissimulé une cyberattaque en 2016, qui a débouché sur le vol de millions de données personnelles. En outre, il a aussi organisé le versement d’une rançon aux hackers à l’origine de cette attaque.

Un procès suivi de près par les professionnels de la sécurité informatique

Le verdict vient de tomber : Joe Sullivan, ancien responsable de la sécurité informatique d’Uber, a été jugé coupable d’avoir caché une cyberattaque. Les faits qu’on lui reproche remontent à 2016, année à laquelle des pirates informatiques ont réussi à voler les données personnelles de près de 57 millions d’utilisateurs d’Uber. Outre-Atlantique, la presse qui a suivi le procès de Joe Sullivan rapporte que ce dernier risque plusieurs années de prison au motif d’avoir émis de signaler la cyberattaque aux autorités compétentes en 2016.

Sans surprise, le procès de M. Sullivan a été suivi de très près par ses confrères. Curieux, les professionnels du secteur souhaitaient avoir une meilleure idée de la perception qu’a la justice américaine des responsabilités qui incombent aux directeurs de la sécurité informatique au sein des entreprises. Pour le fondateur d’une société américaine de cybersécurité, le verdict prononcé à l’encontre de Joe Sullivan « constitue un précédent significatif, qui crée une onde de choc dans notre communauté. Cela montre la responsabilité personnelle que prennent les responsables de la sécurité informatique ». Même son de cloche chez les autres professionnels du secteur, qui militent pour que les Etats-Unis s’attellent à mieux tracer le cadre légal, en définissant de manière plus précise les règles qui régissent la protection de la confidentialité des données. A ce jour, force est de constater que le législateur américain se contente de réagir à postériori.

Versement d’une rançon de 100 000 dollars

C’est l’autre chef d’accusation sur la base duquel a été poursuivi Joe Sullivan qui, pour rappel, a été licencié par Uber en 2017. En effet, l’acte d’accusation précise que l’ancien responsable de la sécurité informatique de la plateforme avait organisé le versement d’une rançon de 100 000 dollars aux hackers auteurs de cette cyberattaque. Nous vous le disions, les pirates ont mis la main sur les données de près de 57 millions d’utilisateurs de la plateforme, y compris des noms, des numéros de téléphone et des adresses mail. Les pirates ont également volé les informations personnelles d’environ 600 000 chauffeurs Uber, notamment leurs noms et permis de conduire.

Il est utile ici de noter qu’Uber a été pris la main dans le sac une année après les faits. La plateforme, accusé d’avoir tardé à signaler la cyberattaque au régulateur et au public, avait alors conclu un accord amiable avec les procureurs de 50 Etats américains, moyennant près de 150 millions de dollars d’indemnités versées. Plus près de chez nous, la France avait aussi condamné Uber pour le même motif, lui infligeant une amende moins importante de 400 000 euros. Idem au Royaume-Uni et les Pays-Bas, tous deux ayant sanctionné l’entreprise basée à San Francisco pour avoir caché cette attaque.