L’ancien cadre de la sécurité d’Uber est accusé d’avoir dissimulé aux enquêteurs fédéraux un piratage massif qui remonte à 2016. Il s’agit d’une fuite de 57 millions de fiches utilisateurs, notamment des données personnelles de conducteurs et de passagers.
Une information gardée sous silence par Uber
Deux hackers ont réussi à pénétrer le système informatique d’Uber en 2016. À la suite de cela, ils ont dérobé 57 millions d’informations personnelles, entre autres, les noms, les adresses mail, les numéros de téléphones et d’autres données sur 600 000 chauffeurs. Cependant, ils n’auraient pas obtenu les accès aux numéros de carte bancaire ou encore à l’historique des trajets.
La direction et le responsable de la cybersécurité d’Uber étaient au courant de cette affaire. Ils ont toutefois fait le choix de ne pas informer les régulateurs américains, ni les forces de l’ordre, ni les clients. Pourtant, cela va à l’encontre de la législation.
Engagement à un stratagème pour dissimuler le piratage
Une plainte a été déposée contre Joe Sullivan, l’ancien responsable de la cybersécurité d’Uber, devant le tribunal de district américain de San Francisco. L’accusation se porte sur la dissimulation de ce piratage qui s’est passé dans l’entreprise. Ce haut responsable, qui est actuellement le directeur de la sécurité du Silicon Valley, aurait également caché le nombre des données qui étaient aux mains des pirates informatiques.
Selon les procureurs fédéraux, au lieu d’avoir informé les régulateurs américains concernant ce délit, Joe Sullivan et le PDG d’Uber de l’époque se sont engagés dans un stratagème qui visait à retenir et à dissimuler le piratage. En effet, la plainte allègue que cet ancien patron de la cybersécurité et Uber ont couvert la violation en payant les pirates informatiques avec une somme de 100 000 dollars. Celle-ci en échange de la signature d’un accord de non-divulgation. Le but était que les hackers effacent les données dérobées et qu’ils gardent le silence.
Uber n’a décidé d’informer ses utilisateurs sur ce piratage qu’en fin 2017. Quant à Joe Sullivan, il a été licencié en novembre de cette même année.
La dissimulation est une infraction
En dissimulant ce piratage massif, Uber a enfreint des lois américaines qui imposent aux entreprises d’informer les utilisateurs sur des cas semblables. Il est aussi accusé d’avoir pris des mesures délibérées, c’est-à-dire les paiements illégaux, pour empêcher la commission fédérale du commerce d’apprendre l’existence du piratage. Par contre, cette commission surveillait la sécurité de la société suite à une infraction antérieure.
D’ailleurs, le procureur confirme que tous paiements aux pirates informatiques pour qu’un piratage ou un vol de données ne soit pas divulgué sont totalement illégaux. En revanche, il attend un signalement rapide d’un comportement criminel et une coopération pour réaliser des enquêtes.
Un accord pour une enquête sur le piratage
En septembre 2018, la société américaine Uber a accepté de payer une somme de 148 millions de dollars afin de régler une enquête sur cette violation de données. Elle a aussi réglé une affaire avec la FTC ou Federal Trade Commission. Celle-ci se porte sur les allégations selon lesquelles la société aurait trompé ses clients en dissimulant une communication liée à la violation des données.