L’ancien RSSI d’Uber accusé d’avoir couvert un piratage en 2016

Spread the love
L'ancien RSSI d'Uber accusé d'avoir couvert un piratage en 2016

L’ancien responsable de la sécurité d’Uber a été accusé jeudi d’avoir couvert une brèche de sécurité de l’entreprise en 2016, au cours de laquelle des pirates ont volé les données personnelles de 57 millions de clients d’Uber et les coordonnées de 600 000 chauffeurs Uber.

Les procureurs de Californie du Nord inculpent Joe Sullivan, 52 ans, qui a été responsable de la sécurité du système d’information (RSSI) d’Uber entre avril 2015 et novembre 2017, date à laquelle Uber a changé de PDG et la majorité de son équipe de direction.

Selon les documents de la cour, les fonctionnaires du ministère de la Justice affirment que Sullivan “a pris des mesures délibérées pour dissimuler, détourner et induire en erreur la Commission fédérale du commerce sur l’infraction”.

S’exprimant lors d’une conférence de presse aujourd’hui (voir la vidéo ci-dessous), le procureur américain du district nord de Californie, David Anderson, a déclaré qu’en cachant le piratage d’Uber aux autorités et à sa direction, Sullivan a indirectement aidé les pirates à s’introduire dans d’autres entreprises.

“Ce bureau a mis en examen les pirates informatiques et l’année dernière, ils ont plaidé coupable”, a déclaré Anderson. “Dans leurs plaidoyers de culpabilité, les pirates ont admis avoir piraté d’autres entreprises en utilisant des techniques similaires à celles utilisées dans le piratage Uber.

“Si Sullivan avait rapidement signalé le piratage Uber, les piratages de ces autres entreprises auraient pu être évités”, a déclaré Anderson.

publicité

Comment s’est déroulé le piratage Uber de 2016

Mais pour comprendre ce qui s’est passé en coulisses, nous devons combiner les détails présentés par le ministère de la Justice aujourd’hui et les documents du tribunal du dossier de la plainte contre les pirates informatiques Uber – à savoir, Brandon Glover, 26 ans, un Américain de Floride, et Vasile Mereacre, 23 ans, un Canadien de Toronto.

Selon ces documents, le piratage d’Uber a eu lieu grâce à l’utilisation d’un outil personnalisé pour accéder aux comptes GitHub.

Glover et Mereacre ont spécifiquement ciblé les comptes des employés travaillant pour de grandes entreprises, ont obtenu l’accès à leurs profils GitHub, puis ont recherché dans les projets des employés des mots de passe et des identifiants sensibles.

C’est ainsi que les deux pirates ont mis la main sur les identifiants Amazon Web Services (AWS) pour l’infrastructure dorsale d’Uber, où ils ont trouvé et ensuite téléchargé les détails de 57 millions de clients et 600 000 conducteurs Uber.

Selon les documents judiciaires, les deux pirates ont contacté M. Sullivan par e-mail, affirmant qu’ils avaient “trouvé une vulnérabilité majeure”, fourni un échantillon des données volées, puis demandé un paiement de 100 000 dollars en bitcoin pour révéler la faille de sécurité de la société.

Les documents du tribunal rendus publics aujourd’hui révèlent qu’au moment où Sullivan a reçu ce mail, le 14 novembre, il venait de soumettre un témoignage écrit à la FTC concernant une faille de sécurité de 2014, au cours de laquelle un pirate informatique a volé les noms et les permis de conduire d’environ 50 000 conducteurs.

Les procureurs affirment que Sullivan et son équipe ont confirmé la validité des échantillons de données des pirates dans les 24 heures suivant la réception du mail, mais au lieu de notifier la FTC de cette nouvelle faille de sécurité, Sullivan a accepté de payer le “prix du silence” des pirates.

Les documents judiciaires publiés aujourd’hui montrent les conversations que Sullivan a eues avec Travis Kalanick, le PDG de l’époque, au sujet de la faille de sécurité. Ce dernier a donné le feu vert aux pirates pour qu’ils reçoivent leur rançon sous la forme d’un paiement dans le cadre du programme de bug bounty.

uber-conversations.png

Les enquêteurs affirment que Sullivan a suivi ce plan et a fait en sorte que les pirates signent un accord de non-divulgation, même sans connaître leurs vrais noms. Ce contrat initial a été signé, et la prime a été versée en décembre 2016 via le programme de bug bounty HackerOne de la société.

Cependant, les procureurs américains affirment que lorsque l’équipe de sécurité d’Uber a retrouvé et finalement identifié les deux pirates, au lieu d’en informer les autorités, Sullivan a demandé aux deux pirates de signer à nouveau leur accord de confidentialité en leur vrai nom.

En outre, le ministère de la Justice prétend que Sullivan a insisté pour que les pirates informatiques signent un contrat qui prétendait qu’ils n’avaient volé aucune des données d’Uber, sachant que cette déclaration était fausse.

“Quand un employé d’Uber a interrogé Sullivan sur cette fausse promesse, Sullivan a insisté pour que cette clause reste dans les accords de non-divulgation”, a déclaré le ministère de la Justice aujourd’hui dans un communiqué de presse.

Une nouvelle direction arrive

Les choses se sont ensuite calmées, mais en août 2017, le conseil d’administration d’Uber a évincé Kalanick et l’a remplacé par Dara Khosrowshahi.

Le ministère de la Justice affirme que M. Sullivan a informé la nouvelle équipe de direction de l’incident de sécurité de 2016, mais qu’il a continué à dissimuler le piratage.

“Plus précisément, Sullivan n’a pas fourni à la nouvelle équipe de direction les détails critiques concernant la brèche”, a déclaré la justice américaine. “En septembre 2017, Sullivan a informé par courriel le nouveau PDG d’Uber de l’incident de 2016. Sullivan a demandé à son équipe de préparer un résumé de l’incident, mais après avoir reçu leur projet de résumé, il l’a édité. Ses modifications ont supprimé des détails sur les données que les pirates avaient prises et ont déclaré que le paiement n’avait été effectué qu’après l’identification des pirates”.

Le nouveau PDG d’Uber a révélé la fuite de données au public en novembre 2017. Cette divulgation a été suivie d’une enquête du FBI, qui a rapidement identifié et arrêté les pirates informatiques, qui ont tous deux plaidé coupable en octobre 2019.

Au fil de l’enquête du FBI, les investigateurs ont commencé à comprendre le rôle de Sullivan dans la dissimulation de la brèche de 2016.

“La Silicon Valley n’est pas le Far West”, a déclaré Anderson aujourd’hui. “Nous attendons des entreprises qu’elles se comportent de manière citoyenne. Nous attendons que les comportements criminels soient rapidement signalés. Nous attendons une coopération dans le cadre de nos enquêtes. Nous ne tolérerons pas les dissimulations. Nous ne tolérerons pas le versement illégal de fonds secrets”.

Sullivan a été accusé aujourd’hui d’obstruction à la justice et d’avoir commis un crime en relation avec le piratage de 2016 et la dissimulation qui s’en est suivie. S’il est reconnu coupable des deux chefs d’accusation, M. Sullivan risque des peines de prison maximales de cinq et trois ans, respectivement.

Comme NPR l’a souligné aujourd’hui, avant de servir comme RSSI chez Uber, Sullivan avait auparavant passé deux ans à enquêter sur des crimes de piratage informatique en tant qu’assistant du procureur américain dans le même bureau qui l’a inculpé aujourd’hui.

Source : “ZDNet.com”

Leave a Reply