Un tribunal américain a reconnu Joseph Sullivan, ancien responsable de la sécurité d’Uber, coupable de dissimulation de crime, dans l’affaire du vol de données de 2016. Un verdict au final surprenant, car il avait tenu sa hiérarchie au courant de ses négociations avec les pirates. Décryptage.
Ce 5 octobre 2022, la justice américaine a rendu un verdict étonnant, dans l’affaire du vol de donnée massif dont a été victime Uber en 2016 : les juges ont reconnu Joseph Sullivan, directeur de la sécurité du service de VTC à l’époque, coupable de « dissimulation de crime ».
Joseph Sullivan, ex-directeur de la sécurité d’Uber, jugé coupable pour avoir dissimulé le vol de données de 2016
Il est vrai qu’il avait négocié avec les pirates pour qu’ils n’utilisent pas les données personnelles des 57 millions de chauffeurs et utilisateurs dérobées grâce à une négligence des développeurs d’Uber.
Sous couvert du programme de bug bounty du service de VTC, il avait accepté de leur verser 100 000 dollars, et leur avait même fait signer un accord de confidentialité. Le tout sans avertir la Federal Trade Commission (FTC), comme la loi l’impose dans ce cas-là. Pour ne rien arranger, Uber était déjà sous le coup d’une enquête pour des faits similaires, et était clairement dans le viseur de la FTC.
Dès 2017, le nouveau CEO d’Uber, Dara Khosrowshahi, avait révélé ce vol de données à la FTC et au grand public, et avait licencié dans la foulée Joseph Sullivan. Le service de VTC a d’ailleurs reconnu officiellement, en juillet 2022, avoir dissimulé ce vol de données.
Une condamnation surprise
Pour autant, la condamnation de Joseph Sullivan (sa peine sera déterminée plus tard par le tribunal, sous réserve que diverses procédures d’annulation qu’il a lancé n’aboutissent pas) reste une surprise.
Il avait en effet constamment tenu au courant sa direction de toutes ses négociations et décisions. Le CEO de l’époque, Travis Kalanick, ainsi que d’autres responsables, que la justice n’a jamais inquiété, savaient pertinemment ce que faisait Joseph Sullivan.
Dès lors, les spécialistes de la cybersécurité s’attendaient plutôt à un acquittement. C’est la première fois qu’un responsable de la sécurité est reconnu coupable devant la justice d’avoir caché un piratage et négocié avec des hackers.