Discussion :

[Patrick Ruiz]

Un programmeur dérobe le code source du logiciel d’espionnage de son ex-employeur pour le revendre sur le darknet
Et se fait prendre

Congédié pour des raisons non précisées, un développeur de l’éditeur israélien NSO a décidé de se faire la malle avec le code source de Pegasus – un célèbre logiciel espion vendu aux forces de l’ordre qui s’en servent pour pister les possesseurs de smartphones. L’intéressé a été démasqué et se trouve au seuil de la prison.

Le nom de l’employé – engagé en novembre 2017 – n’apparaît pas dans l’acte d’accusation publié par le ministère israélien de la Justice. L’on tient néanmoins de diverses sources que, de par son rôle au sein de l’entreprise, ce dernier disposait d’un accès aux serveurs, outils propriétaires et code source de son employeur – le NSO Group. Comme dans la majorité des cas de figure similaires à ce dernier, un certain nombre d’actions sont interdites sans l’obtention d’une permission de l’entreprise : déplacer des informations appartenant à l’entreprise du lieu de service vers un autre, connecter un périphérique de stockage externe aux ordinateurs de la firme, etc.

D’après l’acte d’accusation, le développeur a procédé au transfert des contenus du réseau interne du NSO vers un disque dur externe (après avoir pris soin de désactiver la solution antivirus McAfee installée sur le poste de travail) puis l’a conservé à son domicile durant trois semaines. Le quotidien israélien Globes rapporte que malgré ces précautions McAfee a quand même reçu une alerte, mais cette dernière n’a débouché sur aucune action de la part du NSO. Faisant suite à son licenciement le 29 avril 2018, l’ex-employé décide de s’octroyer un bonus en procédant à la vente de son butin. C’est alors qu’il fait usage de Google (il laisse ainsi des traces) pour se renseigner sur la façon de procéder. Dans la foulée, il tombe sur un forum du darknet et s’y présente comme un membre d’un groupe de pirates.

Grâce à cette fausse identité, il entre en contact avec un potentiel acheteur. Il commet alors sa deuxième erreur en élevant les enchères à 50 millions de dollars (payables en moneros ou zcash) alors que, d’après de nombreux rapports, le NSO lui-même requiert un million de dollars par déploiement. Le client ne mord pas à l’hameçon et informe l’entreprise qui se tourne alors vers les forces de l’ordre. L’auteur de la fuite de données est alors rapidement identifié et arrêté le 5 juin.

L’ex-employé risque désormais la prison au motif de ce que la vente illégale du logiciel d’espionnage aurait constitué un risque important pour la sécurité nationale d’Israël. « Nous allons épuiser toutes les voies de recours légales contre l’accusé », rapporte Reuters des propos des responsables du NSO Group. Un avocat de la défense a commenté à ce propos et souligné que son client n’avait pas pour intention de mettre la sécurité du pays à mal et que les audiences à venir permettront d’établir qu’il s’agit d’une accusation sans fondement.

Sources : Reuters, Globes

Et vous ?

Quel commentaire faites-vous de ce type d’agissement ? L’appât du gain seul peut-il être un justificatif ?

Voir aussi :

Des documents du NSO Group indiquent comment l'entreprise choisit les clients à qui elle vend son spyware, mais aussi le montant de la facture

Pegasus, l'un des logiciels espions les plus sophistiqués a été détecté sur Android, Google recommande cinq conseils de base pour s'en prémunir

Apple corrige en urgence trois vulnérabilités zero day sur iOS qui ont permis à un logiciel espion de passer sous les radars pendant des années

[marsupial]

À mon avis, la vengeance motive le passage à l'acte. Plus que l'appât du gain, un besoin de justice ressort après le licenciement de l'accusé. Heureusement qu'il est trop gourmand car ce genre d'outil qui se répand dans de mauvaises mains peut devenir problématique et pas uniquement pour la sécurité d'Israël.

En matière de sécurité des systèmes d'information étatiques, on n'est jamais trop prudent sur le choix des prestataires.

[Anselme45]

En matière de sécurité des systèmes d'information étatiques, on n'est jamais trop prudent sur le choix des prestataires.

Belle confession de foi! Dommage qu'elle soit totalement inapplicable!

Merci de m'indiquer comment on peut monter une équipe de développeurs exempt de toutes "brebis galeuses". Personnellement, je suis preneur!

PS: Quelque soit le prestataire, la sécurité des données ne sera jamais assurée! D'autant plus quand on est suffisamment c.. pour regrouper toutes les données au même endroit... Dieu sait pourtant que nos ancêtres, ayant à peine inventé le feu, savaient déjà "qu'il ne faut jamais mettre tous les oeufs dans le même panier"