Le verdict a mis fin à une affaire dramatique qui opposait Sullivan, un éminent expert en sécurité qui a été l’un des premiers procureurs des cybercrimes pour le bureau du procureur américain de San Francisco, à son ancien bureau gouvernemental. Entre poursuivre les pirates et être poursuivi, Sullivan a été le principal responsable de la sécurité chez Facebook, Uber et Cloudflare.
Le juge William H. Orrick n’a pas fixé de date de condamnation. Sullivan peut faire appel si les requêtes postérieures au procès ne parviennent pas à annuler le verdict.
“M. Le seul objectif de Sullivan – dans cet incident et tout au long de sa brillante carrière – a été d’assurer la sécurité des données personnelles des personnes sur Internet », a déclaré l’avocat de Sullivan, David Angeli, après que le jury de 12 membres a rendu son verdict unanime le quatrième jour des délibérations.
Même sans les antécédents professionnels de Sullivan, le procès aurait été étroitement surveillé en tant que première affaire pénale majeure intentée contre un dirigeant d’entreprise pour une infraction commise par des étrangers.
C’est peut-être aussi l’un des derniers : au cours des cinq années qui ont suivi le licenciement de Sullivan, les paiements aux extorqueurs, y compris ceux qui volent des données sensibles, sont devenus si routiniers que certaines sociétés de sécurité et compagnies d’assurance se spécialisent dans le traitement des transactions.
«Je pense que payer la rançon est plus courant qu’on ne le croit. Il y a une attitude qui ressemble à celle d’un pare-chocs », a déclaré Michael Hamilton, fondateur de la société de sécurité Critical Insight.
Les dirigeants du FBI, tout en décourageant officiellement cette pratique, ont déclaré ils ne vont pas poursuivre les personnes et les entreprises qui paient des rançons si elles ne violent pas les sanctions interdisant les paiements à des groupes criminels nommés particulièrement proches du gouvernement russe.
«Cette affaire va certainement inciter les cadres, les intervenants en cas d’incident et toute autre personne impliquée dans la décision de payer ou de divulguer les paiements de rançon à réfléchir un peu plus à leurs obligations légales. Et ce n’est pas une mauvaise chose », a déclaré Brett Callow, qui fait des recherches sur les rançongiciels à la société de sécurité Emsisoft. “En l’état, trop de choses se passent dans l’ombre, et ce manque de transparence peut saper les efforts de cybersécurité.”
La plupart des professionnels de la sécurité avaient anticipé l’acquittement de Sullivan, notant qu’il avait tenu le PDG et d’autres personnes non inculpées informées de ce qui se passait.
“La responsabilité personnelle pour les décisions d’entreprise avec la participation des parties prenantes de la direction est un nouveau territoire quelque peu inexploré pour les responsables de la sécurité”, a déclaré Dave Shackleford, propriétaire de Voodoo Security. “Je crains que cela ne conduise à un manque d’intérêt pour notre domaine et à un scepticisme accru à propos de l’infosec en général.”
John Johnson, un responsable de la sécurité de l’information “virtuel” pour plusieurs entreprises, a accepté. “La direction de votre entreprise pourrait faire des choix qui peuvent avoir des répercussions très personnelles sur vous et votre style de vie”, a-t-il déclaré. “Je ne dis pas que tout ce que Joe a fait était juste ou parfait, mais nous ne pouvons pas nous enterrer la tête et dire que cela ne nous arrivera jamais.”
Les procureurs ont fait valoir dans le cas de Sullivan que son utilisation d’un accord de non-divulgation avec les pirates était la preuve qu’il avait participé à une dissimulation. Ils ont déclaré que l’effraction était un piratage suivi d’une extorsion car les pirates menaçaient de publier les données qu’ils avaient prises, et qu’il n’aurait donc pas dû se qualifier pour le programme de primes aux bogues d’Uber pour récompenser les chercheurs en sécurité amis.
Mais la réalité est qu’à mesure que le piratage des entreprises s’est aggravé, la façon dont les entreprises l’ont traité a dépassé de loin la lettre de la loi lorsque Sullivan a été accusé de l’avoir enfreinte.
Les primes de bogues nécessitent généralement des accords de non-divulgation, dont certains durent éternellement.
« Les programmes de primes aux bogues sont utilisés à mauvais escient pour masquer des informations sur les vulnérabilités. Dans le cas d’Uber, ils ont été utilisés pour dissimuler une brèche », a déclaré Katie Moussouris, qui a mis en place un programme de primes de bogues chez Microsoft et dirige maintenant sa propre société de résolution de vulnérabilités, dans une interview.
L’affaire contre Sullivan a commencé lorsqu’un pirate a envoyé un e-mail anonyme à Uber et a décrit une faille de sécurité qui lui a permis, ainsi qu’à un partenaire, de télécharger des données à partir de l’un des référentiels Amazon de l’entreprise. Il est apparu qu’ils avaient utilisé une clé numérique perdue qu’Uber avait laissée exposée pour accéder au compte Amazon, où ils ont trouvé et extrait une sauvegarde non cryptée des données de plus de 50 millions de passagers Uber et de 600 000 chauffeurs.
L’équipe de Sullivan les a orientés vers le programme de primes d’Uber et a noté que le paiement le plus élevé était de 10 000 $. Les pirates ont déclaré qu’ils auraient besoin de six chiffres et ont menacé de divulguer les données.
Une longue négociation s’est ensuivie qui s’est terminée par un paiement de 100 000 $ et une promesse des pirates qu’ils avaient détruit les données et ne divulgueraient pas ce qu’ils avaient fait. Bien que cela ressemble à une dissimulation, des témoignages ont montré que le personnel de Sullivan a utilisé le processus pour obtenir des indices qui les conduiraient à la véritable identité des auteurs, ce qui, selon eux, était un levier nécessaire pour les tenir à leur parole. Les deux ont ensuite été arrêtés et ont plaidé coupables à des accusations de piratage, et l’un a témoigné pour l’accusation lors du procès de Sullivan.
L’accusation d’entrave s’appuyait sur le fait qu’Uber approchait à l’époque de la fin d’une enquête de la Federal Trade Commission à la suite d’une violation majeure de 2014.
Une accusation de dissimulation active d’un crime, ou d’une méprise, pourrait également s’appliquer à de nombreux chefs d’entreprise qui envoient des bitcoins à des pirates informatiques à l’étranger sans dire à personne d’autre ce qui s’est passé. Bien qu’il soit impossible d’obtenir le nombre de ces silences, il s’agit clairement d’un chiffre important. Sinon, les fonctionnaires fédéraux n’auraient pas insisté pour législation récente qui nécessiteront des notifications de rançongiciels de la part des victimes d’infrastructures critiques à la Cybersecurity and Infrastructure Security Agency.
La Securities and Exchange Commission fait également pression pour plus de divulgation. La condamnation a stupéfié les responsables de la sécurité et de la conformité des entreprises et attirera leur attention sur les détails de ces règles.
L’affaire contre Sullivan était plus faible à certains égards que ce à quoi on pourrait s’attendre d’un procès visant à créer un précédent.
Alors qu’il dirigeait la réponse aux deux pirates, de nombreux autres membres de l’entreprise étaient au courant, y compris un avocat de l’équipe de Sullivan, Craig Clark. Les preuves ont montré que Sullivan avait informé le directeur général d’Uber de l’époque, Travis Kalanick, quelques heures après avoir appris lui-même la menace, et que Kalanick avait approuvé la stratégie de Sullivan. L’avocat en chef de la protection de la vie privée de l’entreprise, qui supervisait la réponse à la FTC, a été informé, et le chef de l’équipe de communication de l’entreprise avait également des détails.
Clark, le responsable juridique désigné pour les infractions, a obtenu l’immunité pour témoigner contre son ancien patron. Lors du contre-interrogatoire, il a reconnu avoir informé l’équipe que l’attaque n’aurait pas à être divulguée si les pirates étaient identifiés, a accepté de supprimer ce qu’ils avaient pris et a pu convaincre l’entreprise qu’ils n’avaient pas diffusé les données davantage, ce qui a finalement est arrivé.
Les procureurs ont dû contester “si Joe Sullivan aurait pu croire cela”, comme l’a dit l’un d’eux dans ses plaidoiries vendredi.
L’avocat de Sullivan, Angeli, a déclaré que le monde réel fonctionnait différemment des idéaux de la prime aux bogues et des politiques énoncées dans les manuels de l’entreprise.
“En fin de compte, M. Sullivan a dirigé une équipe qui a travaillé sans relâche pour protéger les clients d’Uber”, a déclaré Angeli au jury.
Après que Kalanick ait été contraint de quitter l’entreprise pour des scandales sans rapport, son successeur, Dara Khosrowshahi, est entré et a appris la violation. Sullivan le lui a décrit comme un gain de routine, ont déclaré les procureurs, éditant à partir d’un e-mail le montant du gain et le fait que les pirates avaient obtenu des données non cryptées, y compris des numéros de téléphone, sur des dizaines de millions de coureurs. Après qu’une enquête ultérieure ait révélé toute l’histoire, Khosrowshahi a témoigné, il a renvoyé Sullivan pour ne pas lui en avoir dit plus, plus tôt.
Désireuse de montrer qu’elle opérait dans une nouvelle ère, la société a aidé le bureau du procureur américain à monter un dossier contre Sullivan. Et les procureurs ont à leur tour pressé en vain Sullivan d’impliquer Kalanick, qui aurait été un prix bien plus important mais n’a pas été damné par les preuves écrites survivantes, selon des personnes familières avec le processus.
Les primes de bogue n’ont jamais été destinées à offrir autant d’argent aux pirates que les criminels ou les gouvernements paieraient. Au lieu de cela, ils ont été conçus pour offrir de l’argent à ceux qui sont déjà enclins à rester honnêtes.
Mais ce sont les entreprises qui paient la facture même lorsque les programmes sont gérés par des fournisseurs externes tels que HackerOne et Foule d’insectes. Les différends entre les chercheurs signalant les failles de sécurité et les entreprises présentant les failles sont désormais courants.
Les deux parties ne s’entendent pas sur la question de savoir si un bogue était “dans la portée”, c’est-à-dire dans les domaines où l’entreprise a déclaré qu’elle voulait de l’aide. Ils diffèrent sur la valeur d’un bogue, ou s’il est sans valeur parce que d’autres l’ont déjà trouvé. Et ils diffèrent sur la façon dont, ou même si, le chercheur peut divulguer le travail après que le bogue a été corrigé ou que l’entreprise choisit de ne rien changer.
Les plateformes de primes ont des procédures d’arbitrage pour ces différends, mais comme les entreprises paient la facture, de nombreux pirates voient un parti pris. Trop de protestations, et ils se font complètement virer de la plate-forme.
“Si vous piratez un programme de primes de bogues par amour du piratage et de l’amélioration de la sécurité, ce n’est pas la bonne raison, car vous n’avez aucun contrôle sur le fait qu’une entreprise décide ou non d’appliquer un correctif en temps opportun”, a déclaré John Jackson, un chercheur qui a réduit son travail de prime et vend maintenant des informations sur la vulnérabilité quand il le peut.
Casey Ellis, fondateur de Bugcrowd, a reconnu que certaines entreprises utilisent des programmes de primes pour étouffer des problèmes qui auraient dû être divulgués en vertu de règles étatiques ou fédérales.
“C’est définitivement une chose qui arrive”, a déclaré Ellis.
Les attaques de ransomwares étaient rares lorsque Sullivan a été inculpé, augmentant considérablement dans les années qui ont suivi pour devenir une menace pour la sécurité nationale des États-Unis.
Les techniques de ces attaques ont également changé.
Au début de 2020, la plupart des rançongiciels se contentaient de crypter les fichiers et demandaient de l’argent pour la clé permettant de les déverrouiller. À la fin de cette année-là, la plupart des attaques de rançon comprenaient le vol pur et simple de fichiers, créant une deuxième demande de rançon pour empêcher leur diffusion publique, selon un rapport de 2021 par le Ransomware Task Force, un groupe dirigé par l’industrie qui comprend des représentants de la US Cybersecurity and Infrastructure Security Agency, du FBI et des services secrets.
Plus récemment, les échanges de crypto-monnaie ont été volés puis négociés pour donner paiements massifs pour récupérer ces fonds, une pratique en roue libre qui ressemble peu aux primes traditionnelles.
“Surtout au cours des six derniers mois dans l’espace crypto, le modèle est” construisez-le jusqu’à ce que nous soyons piratés, et nous le découvrirons à partir de là “”, a déclaré Ellis.
Alors que les paiements moyens dépassaient ceux de Sullivan, atteignant des centaines de milliers de dollars, de plus en plus d’entreprises se sont tournées vers les compagnies d’assurance pour plus de prévisibilité.
Mais souvent, le les compagnies d’assurance l’ont raisonné était moins cher à payer que de couvrir les dommages causés par la perte de fichiers. Certains payaient régulièrement, assurant des revenus réguliers aux gangs.
Rendre les paiements illégaux, comme certains l’ont proposé, ne les arrêterait pas réellement, a déclaré le FBI. Cela donnerait plutôt aux extorqueurs un autre club pour retenir leurs victimes une fois le paiement effectué.
Au moins jusqu’à présent, le Congrès a accepté, refusant d’interdire les transactions. Ce qui signifie que des transactions comme celle de Sullivan continueront de se produire chaque semaine.
Seront-ils tous divulgués lorsque requis par les lois de l’État ou les décrets de consentement fédéraux ? Probablement pas.
Mais ne vous attendez pas à ce que ceux qui font taire les choses se retrouvent menottés.
