Joe Sullivan, l’ancien patron de la sécurité d’Uber, a été reconnu coupable d’avoir sciemment caché aux autorités le vol en 2016 des données de 57 millions d’utilisateurs du service.
En 2016, Uber était victime d’un vol massif de données… qui n’a été rendu public que bien plus tard. A l’époque, la Federal Trade Commission enquêtait sur l’entreprise dirigée alors par Travis Kalanick, à la suite d’une violation de ses systèmes informatiques survenue en 2014. Joe Sullivan, responsable de la sécurité, reçoit, une dizaine de jour après avoir été entendu par la FTC sur cette affaire antérieure, un mail d’un hacker prétendant avoir trouvé une faille dans le SI du géant des VTC.
Le hacker en question, et un complice, avaient téléchargé les données personnelles d'environ 600 000 chauffeurs Uber et des informations personnelles supplémentaires associées à 57 millions de passagers et chauffeurs. Ils exigeaient d’Uber au moins 100 000 dollars en échange de leur silence. Joe Sullivan s’exécute, paie les hackers et leur fait signer un accord de non-divulgation. Le tout est maquillé sous la forme d’un programme de bug bounty.
Obstruction
Aucune loi fédérale n'oblige les entreprises ou les dirigeants à révéler les infractions aux autorités, Uber n'a pas divulgué publiquement l'incident ni informé la FTC. En interne, peu de personnes étaient informées de la réalité de la situation. Ce n’est qu’en 2017, quand Dara Khosrowshahi prend les rênes de l’entreprise, que l’affaire éclate. Joe Sullivan est licencié, ainsi qu’un avocat de la société, lui aussi au courant, Craig Clark.
Ce dernier a témoigné au procès de l’ex-responsable de la sécurité, en échange de l’immunité. Il a ainsi témoigné que Joe Sullivan avait dit à l'équipe de sécurité d'Uber qu'ils devaient garder la violation secrète. Surtout, l’ancien avocat d’Uber affirme que Joe Sullivan a informé un seul membre de l’équipe dirigeante : Travis Kalanick. Lequel a donné son feu vert au paiement de 100 000 dollars aux hackers.
Hier, un jury a reconnu Joe Sullivan coupable d'entrave à l'enquête de la FTC et avoir agi pour dissimuler un crime aux autorités. Pour Stephanie Hinds, la procureure du district nord de Californie, où l’affaire est jugée, « nous ne tolérerons pas la dissimulation d'informations importantes au public par des dirigeants d'entreprise plus soucieux de protéger leur réputation et celle de leurs employeurs que de protéger les utilisateurs. Si une telle conduite viole la loi fédérale, elle sera poursuivie ».