Discussion :

[Bill Fassinou]

Un prestataire de Siemens a planté une bombe logique dans des feuilles de calcul de l'entreprise,
il plaide coupable et encourt 10 ans de prison

David Tinley, 62 ans, a plaidé coupable à un chef d'accusation devant le juge de la Cour suprême des États-Unis, Peter J. Phipps. David Tinley, un ancien sous-traitant de Siemens, a plaidé coupable d'avoir planté une bombe logique dans des feuilles de calcul qu’il a lui-même créées pour l’entreprise. Résident de Harrison City, en Pennsylvanie, David Tinley encourt jusqu’à 10 ans d’emprisonnement ou une amende de 250 mille dollars, ou soit les deux en même temps.

Selon le déroulement des faits recueilli par la justice américaine, David Tinley a été employé par le bureau de Siemens à Monroeville, en Pennsylvanie, pendant près de dix ans. Son rôle consistait à fournir des services logiciels à l’entreprise et à créer des feuilles de calcul que la société utilisait pour gérer ses commandes matérielles. Les feuilles de calcul incluaient des scripts personnalisés qui mettraient à jour le contenu du fichier en fonction des commandes en cours stockées dans d’autres documents distants, permettant ainsi à la société d’automatiser la gestion des stocks et des commandes.

Cependant, alors que les dossiers de Tinley fonctionnaient pendant des années, ils ont commencé à ne plus fonctionner correctement vers 2014. Selon des documents judiciaires, Tinley a installé des bombes logiques qui se déclencheraient après une certaine date et feraient crasher les fichiers. Chaque fois que les scripts se bloquaient, Siemens appelait Tinley, qui réparait les fichiers moyennant des frais. Était-ce pour lui un moyen de pérenniser son job au sein de Siemens ? Tout compte fait, la manœuvre de Tinley n’aura pas mis longtemps à être découvert par les informaticiens de Siemens.

Le projet a duré deux ans, jusqu'en mai 2016, lorsque la tromperie de Tinley a été dévoilée par les employés de Siemens. Selon un rapport de Law360, le projet s'est effondré lorsque Tinley était en dehors de la ville et a dû confier un mot de passe administratif pour les feuilles de calcul au personnel informatique de Siemens afin qu'ils puissent corriger les scripts de buggy et exécuter une commande urgente. À leur grand étonnement, les informaticiens de Siemens ont remarqué la présence de bombes logiques, ce qui a déclenché une poursuite judiciaire contre Tinley. Ce dernier a été arrêté en mai dernier avant de plaider coupable le 19 juillet 2019.

Le procureur des États-Unis, Scott W. Brady a annoncé le vendredi 19 juillet que David Tinley a plaidé coupable devant le tribunal fédéral du district occidental de Pennsylvanie pour avoir intentionnellement endommagé un ordinateur protégé. En ce qui concerne le plaidoyer de culpabilité, le tribunal a été informé que, à partir de 2014 environ et jusqu’au 13 mai 2016, Tinley, un employé contractuel de Siemens Corporation à Monroeville en Pennsylvanie, avait intentionnellement inséré des bombes logiques dans des programmes informatiques qu'il a conçus pour Siemens Corporation. Les bombes logiques garantissaient le dysfonctionnement des programmes après l'expiration d'une certaine date.

En conséquence, Siemens ignorait la cause du dysfonctionnement et a demandé à chaque fois à Tinley de remédier à ces dysfonctionnements. Le juge Phipps a programmé la sentence pour la date du 8 novembre 2019 à 10h30. Aux États-Unis, la loi prévoit une peine maximale totale de 10 ans d'emprisonnement, une amende de 250 000 $, ou les deux. Selon les Directives fédérales sur la détermination de la peine, la peine effectivement infligée est fonction de la gravité de l'infraction et des antécédents criminels du défendeur, le cas échéant. Cela étant, beaucoup estiment que les chances de Tinley de ne pas avoir de peine d'emprisonnement sont minces.

Ils rappellent par exemple qu’en 2006, un ancien employé d'UBS PaineWebber a été condamné à huit ans de prison pour avoir planté une bombe logique sur le réseau de l'entreprise et avoir parié ses stocks. En septembre 2018, un homme d'Atlanta a été condamné à deux ans de prison pour avoir planté une bombe logique sur l'une des bases de données de paie de l'armée américaine, ce qui a entraîné un retard de 17 jours dans le paiement de la solde de l'armée de réserve américaine.

Sources : Document de la Cour, Plaidoyer

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Freelance : il n'a pas été payé, alors il a publié en open source le projet de son client. Comment s'assurer d'être payé pour son travail ?

Un ingénieur de Wall Street accusé d'avoir installé des logiciels malveillants sur le réseau de son employeur pour voler son code source

Des pirates ont lancé une campagne d'attaques pour cibler des employés de centrales nucléaires aux États-Unis depuis le mois de mai

[el_slapper]

Les mecs croient vraiment ne jamais se faire choper?

encore, un type qui bosse juste comme un porc, ça peut passer, c'est juste un porc. Mais des trucs sophistiqués avec déclenchement programmé et tout? C'est tellement facile à trouver une fois qu'on sait qu'on cherche quelque chose...

Perso, je n'ai jamais vu ça, mais j'ai vu des trucs suspects(i.e. des numéros de carte bleue en dur dans le programmes), et j'ai tout de suite remonté l’information - en fait, c'était des numéros de cartes de tests, avec des autorisations spéciales, mais bloquées sur le plan comptable(parce-que bon, l'idée c'était de tester en vrai, mais sans ruiner la banque). La plupart des gens auraient tiqué comme moi, je crois. Si ça avait été une arnaque, elle aurait tout de suite été identifiée, par moi ou un autre.

[sebastiano]

Comme l'a dit le collègue plus haut, il allait forcément se faire attraper. Du code, ça reste, on peut planter n'importe quoi comme logique, il y a une trace et ça sera forcément repéré un jour.

Bref, faut pas être malin.

[sinople]

Dans le fond c'est quoi la différence entre cette histoire et obsolescence programmée ?

Pratique encore largement utilisée par les ténors du secteur, pour ne pas dire faisant partie du coeur de leur modèle d'affaire.

[deltree]

Alors ça c'est digne du dailywtf! je ne sais pas si vous connaissez le site!

Le gars avait vraiment trop de temps pour implémenter ça. Puis bon, "coder" en excel, faut le vouloir.
Mais la cerise sur le gâteau, c'est donner le mot de passe, à Siemens, société techno qui sait probablement lire du code; c'est pas un boulanger, et penser naivement que ça se verra pas.

[Ryu2000]

Cependant, alors que les dossiers de Tinley fonctionnaient pendant des années, ils ont commencé à ne plus fonctionner correctement vers 2014. Selon des documents judiciaires, Tinley a installé des bombes logiques qui se déclencheraient après une certaine date et feraient crasher les fichiers. Chaque fois que les scripts se bloquaient, Siemens appelait Tinley, qui réparait les fichiers moyennant des frais. Était-ce pour lui un moyen de pérenniser son job au sein de Siemens ? Tout compte fait, la manœuvre de Tinley n’aura pas mis longtemps à être découvert par les informaticiens de Siemens.

Le projet a duré deux ans, jusqu'en mai 2016, lorsque la tromperie de Tinley a été dévoilée par les employés de Siemens. Selon un rapport de Law360, le projet s'est effondré lorsque Tinley était en dehors de la ville et a dû confier un mot de passe administratif pour les feuilles de calcul au personnel informatique de Siemens afin qu'ils puissent corriger les scripts de buggy et exécuter une commande urgente. À leur grand étonnement, les informaticiens de Siemens ont remarqué la présence de bombes logiques, ce qui a déclenché une poursuite judiciaire contre Tinley. Ce dernier a été arrêté en mai dernier avant de plaider coupable le 19 juillet 2019.

Son plan aurait pu fonctionner jusqu'au bout, Siemens aurait fini par changer de technologie et la stratégie de Tinley lui aurait donné un peu de boulot.
Mais il a été contraint de donner le mot de passe pour que les informaticiens de Siemens puissent aller bricoler dans le code VBA.

Pour trouver des missions certains rusent un peu. ^^
Bon après ce n'est pas éthique de faire ça et le gars risque gros.

[transgohan]

obsolescence programmée ?

Pratique encore largement utilisée par les ténors du secteur

Je ne vous le fais pas dire... J'ai un copain qui a du injecter du code générant de fausse popup d'erreur qui s'affichaient au bout de 8 mois dans des clients lourd Java lorsqu'il bossait en ESN...
Ce n'était évidemment pas une demande du client, et le pire... C'est que c'était dans son cahier des charges... (donc on imagine un cahier des charges pour le client et un autre customisé pour l'équipe de développement...)

6 mois plus tard on lui a demandé de modifier le système, ne plus afficher une popup au bout de 8 mois mais à partir de 8 mois intensifier progressivement le nombre de popup qui s'affichait... Sans doute que le client validait simplement l'erreur et s'en foutait.
Il a posé sa démission dans la foulée et est allé voir ailleurs.

[Jbx 2.0b]

En France on a une stratégie globale et complétement légale:

On multiplie les ESN/SSII blindées de développeurs peu expérimentés et mal payés. Le résultat est un code bugué et mal architecturé qui doit constamment être corrigé. Le turnover étant important bien souvent la correction est effectuée par une équipe qui n'a pas initié le projet, et qui n'a qu'une compréhension partielle des choix techniques effectués.
Tout cela faisant le bonheur des gérants des ESN qui peuvent indéfiniment placer des "collaborateurs" et récupérer les marges.

C'est très bon pour l'emploi ceci dit. Mais il ne faut pas aimer faire des logiciels.

[deltree]

Alors ça c'est digne du dailywtf! je ne sais pas si vous connaissez le site!

Le gars avait vraiment trop de temps pour implémenter ça. Puis bon, "coder" en excel, faut le vouloir.
Mais la cerise sur le gâteau, c'est donner le mot de passe, à Siemens, société techno qui sait probablement lire du code; c'est pas un boulanger, et penser naivement que ça se verra pas.

WTF -4 sur mon message?
OK il est pas exceptionnel, mais je vois pas de quoi susciter un tel rejet? Ya un truc que je comprends pas dans cette comunauté desfois.

[Invité]

Perso, je n'ai jamais vu ça, mais j'ai vu des trucs suspects(i.e. des numéros de carte bleue en dur dans le programmes), et j'ai tout de suite remonté l’information - en fait, c'était des numéros de cartes de tests, avec des autorisations spéciales, mais bloquées sur le plan comptable(parce-que bon, l'idée c'était de tester en vrai, mais sans ruiner la banque). La plupart des gens auraient tiqué comme moi, je crois. Si ça avait été une arnaque, elle aurait tout de suite été identifiée, par moi ou un autre.

Jeune padawan

Facile à trouver... dans excel...

D'habitude on n'appelle pas ça une bombe logique mais un bug de limitation dans la durée

[VinnieMc]

On devrait plutôt lui remettre une médaille pour avoir bien appris de son patron J'adore la justice américaine, 10 ans de prison pour 2 ans de maintenance superflue, sûrement facturée des cacahuètes, alors que Siemens vend des appareils programmés pour tomber en rade et aller à la poubelle après que la garantie a expiré, mais ça, ça ne compte pas...

[jean12]

Je crois qu'il ne faut pas confondre les bombes logiques avec la maintenance de code de façon globale.
La maintenance de code est nécessaire lorsque l'on doit intervenir sur une application qui utilise des services qui ont changé de paramétrage ou lorsqu'on doit faire évoluer l'application vers de nouvelles fonctionnalités ou simplement pour améliorer l'existant en termes de rapidité et d'efficacité. Nous sommes là très loin d'une intention de tromper, puisqu'on sait que les logiciels ont une durée de vie liée entre autres aux avancées technologiques et langages utilisés.
Donc si on rappelle pour adapter un service dont l'architecture a changé ou pour faire évoluer vers de nouveaux objectifs, cela est tout à fait normal, puisque généralement un cahier des charges spécifie l'intervention de l'informaticien.
Mais c'est dommage pour David Tinley!

[Patrick Ruiz]

Un prestataire de Siemens écope de 6 mois de prison pour pose de bombes logiques au sein de logiciels de l’entreprise
Une manœuvre destinée à assurer sa réembauche systématique

Un prestataire de Siemens qui a saboté des programmes informatiques afin d'assurer sa réembauche systématique par l'entreprise écope d'une peine de prison.

David Tinley, de la ville de Harrison en Pennsylvanie, a plaidé coupable devant une cour fédérale à une accusation de dommages intentionnels à un ordinateur protégé en juillet 2019.

Entre 2014 et 2016, le travailleur de la filière programmation informatique (âgé de 62 ans) a procédé à l’insertion de morceaux de code connus sous le nom de bombes logiques au sein des feuilles de calcul dont l’entreprise faisait usage à sa succursale de Monroeville en Pennsylvanie. Ces dernières étaient destinées à causer le mauvais fonctionnement du logiciel sous certaines conditions.

« Les bombes logiques garantissaient que les programmes fonctionneraient mal après l'expiration d'une certaine date. Par conséquent, Siemens ne connaissait pas la cause du dysfonctionnement et a demandé à Tinley de réparer ces dysfonctionnements », peut-on lire dans une déclaration publiée le 19 juillet 2019 par le bureau du procureur des États-Unis du district ouest de la Pennsylvanie.

C’est en mai 2016 que le stratagème a été découvert par les employés de l’entreprise. Tinley, alors hors de la ville, avait dû confier un mot de passe administratif d’accès aux feuilles de calcul au personnel informatique afin qu’il puisse corriger des scripts et exécuter une commande urgente. C’est ce qui a permis à l’équipe Siemens de remarquer la présence de bombes logiques et d’entamer des poursuites judiciaires contre le prestataire.

Tinley encourait une peine d'emprisonnement maximale de 10 ans et à une amende maximale de 250 000 dollars. Le lundi 16 décembre, un juge de district l’a condamné à une peine de six mois de prison fédérale et lui a ordonné de payer une amende de 7 500 dollars qui vient s’ajouter à une somme de 42 000 dollars que Tinley a restituée à l’entreprise si l’on s’en tient aux termes d’un mémorandum entre les parties. Une fois sa peine d'emprisonnement purgée, Tinley passera deux autres années sous surveillance judiciaire.

En France, le parquet de Nanterre a, il y a bientôt deux ans, ouvert une enquête contre Epson – un fabricant d’imprimantes – accusé de programmer la durée de vie de ses cartouches d’impression afin d’obliger les consommateurs à en racheter. Entre 2017 et 2018, de nombreux rapports faisant état de ce que des entreprises comme Apple et Samsung émettent des mises à jour logicielles qui amènent les consommateurs à changer de smartphones plus vite que prévu ont fait surface. Dans le jargon du milieu, on parle d’obsolescence programmée. Le tableau est pratiquement le même que dans le cas Tinley : un travailleur de la filière informatique, employé d’une entreprise, pose des bombes logiques au sein d’une base de code. En 2018, l’Italie a sanctionné Apple et Samsung d’amendes respectives de 10 et 5 millions de dollars US pour de telles pratiques.

Source : décision de justice

Et vous ?

Que pensez-vous du cas Tinley ?
Le parallèle avec les entreprises impliquées dans des pratiques d’obsolescence programmée est-il pertinent ?
Que feriez-vous si l’entreprise pour laquelle vous travaillez vous demande d’user de stratagèmes similaires ?

Voir aussi :

Freelance : il n'a pas été payé, alors il a publié en open source le projet de son client. Comment s'assurer d'être payé pour son travail ?
Un ingénieur de Wall Street accusé d'avoir installé des logiciels malveillants sur le réseau de son employeur pour voler son code source
Des pirates ont lancé une campagne d'attaques pour cibler des employés de centrales nucléaires aux États-Unis depuis le mois de mai

[Neckara]

Aaaaaah… j'avais compris en lisant le titre que c'était les 6 mois de prisons qui étaient une manœuvre destinée à assurer sa réembauche systématique.

[JackIsJack]

Comme si VBA n'avait pas déjà assez mauvaise réputation...sniff.

[Médinoc]

En France, le parquet de Nanterre a, il y a bientôt deux ans, ouvert une enquête contre Epson – un fabricant d’imprimantes – accusé de programmer la durée de vie de ses cartouches d’impression afin d’obliger les consommateurs à en racheter.

Quand feront-ils la même chose pour HP?