Un jury de Seattle a déclaré Paige Thompson, une ancienne ingénieure en logiciel d’Amazon accusée d’avoir volé des données à Capital One en 2019, coupable de fraude électronique et de cinq chefs d’accès non autorisé à un ordinateur protégé. Le piratage de Capital One a été l’une des plus importantes atteintes à la sécurité aux États-Unis et a compromis les données de 100 millions de personnes dans le pays, ainsi que de 6 millions de personnes au Canada. Thompson a été arrêtée en juillet de la même année après qu’un utilisateur de GitHub ait vu son message sur le site Web partageant des informations sur le vol de données sur des serveurs stockant des informations sur Capital One.
Selon le ministère de la Justice, Thompson a utilisé un outil qu’elle a elle-même construit pour analyser Amazon Web Services à la recherche de comptes mal configurés. Elle aurait ensuite utilisé ces comptes pour infiltrer les serveurs de Capital One et télécharger les données de plus de 100 millions de personnes. Le jury a décidé que Thompson avait violé la loi sur la fraude et les abus informatiques en agissant ainsi, mais ses avocats ont fait valoir qu’elle avait utilisé les mêmes outils et méthodes également utilisés par les pirates éthiques.
Le ministère de la Justice a récemment modifié la loi sur la fraude et les abus informatiques afin de protéger les hackers éthiques ou white hat. Tant que les chercheurs enquêtent ou corrigent les vulnérabilités de « bonne foi » et n’utilisent pas les failles de sécurité qu’ils découvrent à des fins d’extorsion ou à d’autres fins malveillantes, ils ne peuvent plus être inculpés en vertu de la loi.
Les autorités américaines, cependant, n’étaient pas d’accord avec l’affirmation selon laquelle elle essayait seulement d’exposer les vulnérabilités de Capital One. Le ministère de la Justice a déclaré qu’elle avait installé un logiciel d’extraction de crypto-monnaie sur les serveurs de la banque et envoyé les revenus directement à son portefeuille numérique. Elle se serait également vantée du piratage sur les forums en ligne.
« Loin d’être une hacker éthique essayant d’aider les entreprises avec leur sécurité informatique, elle a exploité les erreurs pour voler des données précieuses et a cherché à s’enrichir », a déclaré l’avocat américain Nick Brown. Thompson pourrait être condamné à une peine pouvant aller jusqu’à 20 ans de prison pour fraude électronique et jusqu’à cinq ans pour chaque accusation d’accès illégal à un ordinateur protégé. Son audience de détermination de la peine est prévue pour le 15 septembre.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.