Un tribunal fédéral des États-Unis a condamné un ancien cadre en cybersécurité à une prison fédérale après l’avoir condamné pour avoir vendu une vulnérabilité logicielle critique à des acheteurs agissant au nom du gouvernement russe, ont indiqué les procureurs. Les actions de l’accusé impliquaient une opération zero-day que les autorités ont qualifiée de compromis des systèmes informatiques.
Le tribunal a prononcé la sentence à la suite d’un plaidoyer de culpabilité dans lequel le dirigeant a admis avoir échangé cet exploit logiciel jusque-là inconnu à des intermédiaires supposés représenter les intérêts du renseignement russe. Les procureurs ont déclaré que l’exploit visait des logiciels réseau largement utilisés et pourrait permettre aux attaquants distants d’exécuter du code et de prendre le contrôle des systèmes affectés sans être détectés.
Lors de la condamnation de l’accusé, le juge a invoqué les graves implications pour la sécurité nationale liées au transfert d’une puissante vulnérabilité cybernétique à un adversaire étranger. La peine d’emprisonnement ordonnée par le tribunal respectait les directives fédérales de détermination des peines pour les infractions impliquant l’exportation de logiciels malveillants et d’outils cybernétiques illicites.
L’exploit zero-day en question n’avait pas été rendu public au moment de sa vente, ce qui signifiait que les développeurs et défenseurs de logiciels ignoraient son existence et ne pouvaient pas corriger les produits concernés. Les procureurs ont déclaré au tribunal que le prévenu comprenait l’impact potentiel de l’exploit et s’était volontairement engagé dans sa vente à des représentants liés à des acteurs de l’État russe.
Les autorités fédérales ont indiqué que l’enquête impliquait une coopération entre plusieurs agences américaines d’application de la loi, dont le Federal Bureau of Investigation et le Département de la Justice. L’affaire a été portée en vertu des lois américaines qui interdisent l’exportation d’armes ou de vulnérabilités cybernétiques vers des gouvernements étrangers désignés sans licence.
L’équipe juridique du prévenu a plaidé pour une peine moins sévère, invoquant son expérience professionnelle antérieure et ses contributions à la recherche en cybersécurité défensive. La cour a reconnu ces facteurs mais a estimé que la vente délibérée d’un exploit zero-day à des agents d’un gouvernement étranger justifiait une peine de prison.
Les responsables n’ont pas divulgué d’informations détaillées sur la manière dont l’exploit a ensuite été utilisé dans les opérations cybernétiques, mais les procureurs ont indiqué que le transfert de la vulnérabilité à des acteurs hostiles entrave les efforts mondiaux plus larges pour défendre les réseaux et protéger les infrastructures critiques.