Un ancien CSO d’Uber aurait payé des pirates en Bitcoin – D’après une plainte déposée par le département américain de la justice (DOJ), Joseph Sullivan aurait payé des pirates informatiques en Bitcoin pour dissimuler une fuite de données personnelles des utilisateurs et partenaires d’Uber. L’ancien chef de sécurité de la société de covoiturage aurait payé 100 000 dollars en BTC pour acheter le silence des hackers.
Notre avis sur Bitcoin (BTC) »
Une affaire qui remonte à 2016
Selon l’acte d’accusation, l’incident a eu lieu entre avril 2015 et novembre 2017, lorsque Sullivan occupait encore le poste de chef de la sécurité d’Uber. Des pirates ont mis la main sur une base de données comprenant les informations d’identification personnelle d’environ 57 millions d’utilisateurs. Celles-ci incluaient notamment les numéros de permis de conduire d’environ 600 000 chauffeurs qui conduisaient pour la société.
L’ancien exécutif d’Uber aurait alors agi délibérément pour dissimuler, détourner et induire en erreur la Federal Trade Commission (FTC). D’après l’enquête des autorités, il aurait reçu des mails venant de deux pirates informatiques. Dans leurs messages, les hackers lui auraient demandé de payer une rançon à six chiffres en échange de leur silence.
L’équipe de sécurité du géant du covoiturage aurait débloqué la somme de 100 000 dollars en bitcoins en décembre 2016. En payant ce montant, les experts de la société ignoraient les identités des rançonneurs. L’ancien chef de la sécurité d’Uber aurait d’ailleurs tenté de faire signer des accords de non-divulgation aux pirates.
Une rançon associée à un programme de prime pour les bogues ?
Sullivan aurait cherché à dissimuler le paiement en l’inscrivant dans le cadre d’un programme de bounty hunting. Pour rappel, il s’agit des programmes rémunérant des hackers étiques afin qu’ils signalent des failles de sécurité, mais sans compromettre la société ensuite.
Pour la défense de Joe Sullivan et de son équipe, un porte-parole de l’ancien CSO d’Uber a déclaré que les pirates n’auraient jamais pu être identifiés sans leur contribution.
« Les accusations portées contre M. Sullivan, qui est un expert respecté en matière de cybersécurité et ancien procureur adjoint des États-Unis, sont sans fondement. » – Bradford Williams
Pour l’heure, il n’y a encore aucune date prévue pour la comparution de Joe Sullivan. Affaire à suivre donc !
