L’ancien responsable de la sécurité informatique d’Uber, Joseph Sullivan, a été jugé coupable mercredi d’avoir dissimulé, en 2016, une attaque informatique qui avait permis à des pirates de mettre la main sur des données personnelles d’environ 57 millions d’utilisateurs de la plateforme. D’après la presse américaine qui rapporte le verdict, Joseph Sullivan risque plusieurs années de prison pour ne pas avoir signalé la cyberattaque aux autorités fédérales à l’époque.

Le procès a été suivi de près dans le milieu de la cybersécurité, car il est considéré comme un test sur la vision qu’a la justice américaine des responsabilités et des obligations des responsables de ce domaine au sein des entreprises.

Lire aussi: «Des entreprises sous-estiment les cyberrisques, voire les nient, alors même que nous les contactons de manière répétée»

Une «responsabilité personnelle»

Le verdict «constitue un précédent significatif, qui crée une onde de choc dans notre communauté», a commenté Casey Ellis, le fondateur de Bugcrowd, une société californienne spécialisée dans la cybersécurité. «Cela montre la responsabilité personnelle que prennent les responsables de la sécurité informatique», a-t-il ajouté. L’entrepreneur préférerait que les Etats-Unis définissent mieux les règles autour de la protection de la confidentialité des données, plutôt que de réagir a posteriori.

Selon l’acte d’accusation, Joe Sullivan, licencié en novembre 2017, avait également organisé le versement d’une rançon de 100 000 dollars aux pirates à l’origine de l’attaque. Les données volées comprenaient des noms, des adresses email et des numéros de téléphone de millions de passagers, ainsi que les noms et permis de conduire de quelque 600 000 chauffeurs, selon Uber.

Près de 150 millions de dollars d’indemnités

L’affaire n’avait été révélée qu’un an plus tard, le groupe basé à San Francisco passant alors un accord amiable avec les procureurs de 50 Etats américains, intégrant 148 millions de dollars d’indemnités, au total, pour avoir tardé à dévoiler l’attaque au régulateur ainsi qu’au grand public.

Lire aussi: Protéger nos infrastructures critiques des cyberattaques, un défi majeur

En 2018, la France a condamné Uber à une amende de 400 000 euros pour avoir caché ce piratage. Les Pays-Bas et le Royaume-Uni ont également sanctionné l’entreprise avec des amendes.

Identifiés par les autorités américaines, les deux pirates à l’origine de la cyberattaque ont été interpellés et ont plaidé coupable d’extorsion devant un juge fédéral de Californie en 2019. Uber n’a pas répondu à une sollicitation de l’AFP.