La dissimulation Uber
Le CSO d’Uber a payé les attaquants cent mille dollars via le programme de bug bounty et a qualifié cela de « recherche en sécurité ». Un jury en a jugé autrement.
En octobre 2016, des attaquants récupèrent un identifiant codé en dur dans un dépôt GitHub privé d’Uber, l’utilisent pour accéder à un bucket Amazon S3, et aspirent les informations personnelles d’environ cinquante-sept millions de chauffeurs et de passagers. La mécanique technique est banale. La suite, non.
Un paiement de bug bounty
Le responsable sécurité d’Uber à l’époque, Joe Sullivan, négocie avec les attaquants, leur paie cent mille dollars en bitcoins via le programme bug bounty de l’entreprise sur HackerOne, et obtient en échange des accords de confidentialité signés. Le paiement est enregistré comme un versement bug bounty. Les attaquants sont traités, sur le papier, comme des chercheurs en sécurité.
La décision est prise sans notifier les attorneys general des États américains, qui en vertu des lois de notification de fuites avaient manifestement le droit de savoir. Uber ne divulgue pas la compromission publiquement pendant plus d’un an.
Une condamnation pénale pour le CSO
Lorsqu’une nouvelle direction prend les commandes d’Uber en 2017, l’entreprise divulgue l’incident, licencie Sullivan, et paie 148 millions de dollars en règlement à l’ensemble des cinquante États américains. Le département de la Justice va plus loin. En 2022, Sullivan est condamné pour entrave à la justice et non-dénonciation d’un crime — première condamnation pénale aux États-Unis d’un directeur sécurité d’entreprise pour le traitement d’une divulgation de brèche.
Ce que la chronique retient
Uber 2016 a redessiné la carte juridique du poste de CSO. L’affaire est désormais une lecture standard dans les briefings d’avocats d’entreprise sur la réponse à incident, et la frontière entre un paiement légitime de bug bounty et un règlement d’extorsion se discute en des termes bien plus tranchés qu’avant l’inculpation de Sullivan.