USA : sept ans pour vol et vente de failles zero-day à un courtier russe Un dirigeant américain est condamné à sept ans pour avoir volé et vendu huit failles zero-day à un courtier russe, avec des sanctions OFAC associées.
La condamnation d’un dirigeant américain impliqué dans le vol et la vente de failles zero-day met en lumière un marché clandestin où des vulnérabilités non identifiées par leurs éditeurs se monnayent. Peter Williams, ancien directeur général d’un fournisseur de failles destiné notamment aux partenaires des Five Eyes, a été condamné à sept ans et trois mois de prison pour avoir dérobé huit vulnérabilités et les cédées à un courtier russe pour environ 4 millions de dollars en crypto.
Faits et liens avec Operation Zero
Selon l’acte d’accusation et les informations publiques, Williams a vendu huit zéro-days à un broker russe connu sous le nom d’Operation Zero. Le communiqué du ministère de la Justice n’en mentionne pas le nom publiquement, mais le même temps, le département du Trésor et le département d’État ont sanctionné Operation Zero et plusieurs associées, les reliant à des activités de distribution d’outils informatiques nuisibles et à des opérations de renseignement logiciel.
« Cette action coïncide avec une enquête du DOJ et du FBI sur le vol de secrets commerciaux », précise le ministère américain.
Kim Zetter rappelle que Williams, australien de 39 ans résidant à Washington, avait d’abord travaillé pour l’Australian Signals Directorate (ASD) puis pour une société privée spécialisée dans la recherche de vulnérabilités et les « computer network operations ». En 2018, L3Harris avait racheté Azimuth Security et Linchpin Labs, où Williams avait œuvré après son départ de l’ASD en 2016. En octobre 2024, il est nommé directeur général de Trenchant, une société née de ce rachat, qui découvre alors que certains de ses actifs logiciels avaient fuité hors de son réseau.
Trenchant affirme que son code sensible est gardé sur un réseau isolé et déconnecté d’Internet (« air-gapped ») pour prévenir toute fuite. Williams aurait tenté d’étouffer l’enquête interne en pointant un collègue comme responsable avant d’être licencié lui-même après qu’il a continué à vendre des secrets au broker russe, même lorsque le FBI menait l’enquête.
Le préjudice décrit est lourd: des pertes estimées à au moins 35 millions de dollars pour Trenchant. D’après Kim Zetter, l’audience de restitution doit déterminer des paiements supplémentaires liées à ce montant, alors qu’une partie des fonds avait été blanchie via des crypto-monnaies puis transférée sur des comptes bancaires personnels.
Dans le même temps, l’OFAC du Trésor américain a désigné Sergey Zelenyuk et sa société Matrix LLC (agissant sous le nom Operation Zero), ainsi que plusieurs personnes associées, pour l’acquisition et la distribution d’outils informatiques nuisibles à la sécurité nationale. L’OFAC détaille que ces exploits comprenaient au moins huit outils propriétaires créés pour l’usage du gouvernement américain et de certains alliés et qui avaient été volés à une entreprise américaine.
Comment ce marché prospère et ce que cela implique
Open Zero et d’autres brokers russes ont dynamisé le marché des failles zero-day en offrant des primes substantielles pour des exploits, parfois jusqu’à 20 millions de dollars selon les estimations publiques. En 2023, des plateformes comme Open Zero avaient augmenté les primes en réponse à la demande, notamment pour des exploits ciblant iOS et Android. Cette dynamique nourrit un commerce où les acteurs publics et privés se mêlent, et où les risques de fuite des secrets commerciaux pèsent sur des entreprises et des gouvernements.
- Marché et paiements : les transactions s’effectuent largement en crypto-monnaies, facilitant l’anonymat et les transferts internationaux.
- Réseaux et acteurs : des brokers privés comme Operation Zero jouent le rôle d’intermédiaires entre vendeurs de vulnérabilités et clients gouvernementaux ou privés.
- Conséquences juridiques : la PAIPA permet des sanctions ciblées lorsque le vol de secrets commerciaux menace la sécurité nationale ou l’économie.
Contexte juridique et limites
Cette affaire illustre la première utilisation de la PAIPA pour sanctionner une opération impliquant le vol et la vente de secrets commerciaux américains à des acteurs étrangers. La coopération entre le DOJ, le FBI et l’OFAC montre une approche coordonnée pour traquer les profits et les canaux de distribution d’exploits. Les autorités évoquent aussi la dimension transnationale du marché des failles zero-day, avec des implications non seulement pour les entreprises visées mais aussi pour la sécurité nationale des États-Unis.
Pour terminer
Le dossier rappelle que les failles non corrigées peuvent devenir une monnaie d’échange puissante et dangereuse. Alors que les autorités multiplient les actes de sanction, l’enjeu demeure: comment sécuriser les chaînes d’approvisionnement logiciel face à un marché si lucratif et international ?
![L’IA d’Anthropic menace-t-elle vraiment la cybersécurité ? [Revue de Presse]](https://images.unsplash.com/photo-1563986768609-322da13575f3?w=600&q=75&auto=format&fit=crop)
![Une vulnérabilité du Wi-Fi permet de contourner le chiffrement des réseaux domestiques et professionnels grâce aux attaques AirSnitch, l'isolation des clients Wi-Fi est « fondamentalement défaillante » [Revue de Presse]](https://www.developpez.com/images/logos/wi-fi.png)