(AFP) – L’ancien responsable de la sécurité informatique d’Uber, Joseph Sullivan, a été jugé coupable mercredi d’avoir dissimulé, en 2016, une attaque informatique qui avait permis à des pirates de mettre la main sur des données personnelles d’environ 57 millions d’utilisateurs de la plateforme.
D’après la presse américaine qui rapporte le verdict, M. Sullivan risque plusieurs années de prison pour ne pas avoir signalé la cyberattaque aux autorités fédérales à l’époque. Le procès a été suivi de près dans le milieu de la cybersécurité, car il est considéré comme un test sur la vision qu’a la justice américaine des responsabilités et des obligations des responsables de ce domaine au sein des entreprises.
Le verdict “constitue un précédent significatif, qui crée une onde de choc dans notre communauté“, a commenté Casey Ellis, le fondateur de Bugcrowd, une société californienne spécialisée dans la cybersécurité. “Cela montre la responsabilité personnelle que prennent les responsables de la sécurité informatique“, a-t-il ajouté.
L’entrepreneur préfèrerait que les Etats-Unis définissent mieux les règles autour de la protection de la confidentialité des données, plutôt que de réagir a posteriori.
Le versement d’une rançon de 100 000 dollars
Selon l’acte d’accusation, Joe Sullivan, licencié en novembre 2017, avait également organisé le versement d’une rançon de 100 000 dollars aux pirates à l’origine de l’attaque.
Les données volées comprenaient des noms, des adresses email et des numéros de téléphone de millions de passagers, ainsi que les noms et permis de conduire de quelques 600 000 chauffeurs, selon Uber.
L’affaire n’avait été révélée qu’un an plus tard, le groupe basé à San Franicsco passant alors un accord amiable avec les procureurs de 50 Etats américains, intégrant 148 millions de dollars d’indemnités, au total, pour avoir tardé à dévoiler l’attaque au régulateur ainsi qu’au grand public.
Identifiés par les autorités américaines, les deux pirates à l’origine de la cyberattaque ont été interpellés et ont plaidé coupable d’extorsion devant un juge fédéral de Californie en 2019.
En 2018, la France a condamné Uber à une amende de 400 000 euros pour avoir caché ce piratage. Les Pays-Bas et le Royaume-Uni ont également sanctionné l’entreprise avec des amendes.
Uber n’a pas répondu mercredi à une sollicitation de l’AFP.