OVHcloud fait condamner l’un de ses anciens informaticiens trop curieux
Un informaticien de 44 ans vient d’être condamné par la 12e chambre correctionnelle du tribunal judiciaire de Paris à une peine de huit mois d’emprisonnement avec sursis et une amende de 5 000 euros, a constaté lundi 13 mars ZDNet.fr. Cet ancien travailleur freelance pour OVHcloud était poursuivi pour trois infractions de piratage informatique, accès frauduleux dans un système de traitement automatisé de données, extraction frauduleuse et maintien frauduleux.
Le quadragénaire francilien avait été embauché en novembre 2022 via une société de services numériques par le leader européen du cloud computing. L’administrateur freelance, fort d’une vingtaine d’années d’expérience dans le secteur, devait faire de la gestion de demandes d’assistance.
publicité
Enquête confiée à la DGSI
Mais rapidement, sa mission tourne court. « Je n’étais pas très impliqué, j’en avais un petit peu ras le bol de l’informatique et j’ai fait des erreurs d’inattention », a expliqué à la barre ce grand gaillard barbu à lunettes. Après s’être emmêlé les pinceaux dans la gestion des mots de passe – « un travail bâclé », convient-il – l’entreprise met fin à sa mission au début du mois de février 2023 après une nouvelle bourde, un chiffrement raté de mots de passe qui ouvre une faille dans la sécurité informatique.
La suite des événements va inquiéter encore davantage son ancien donneur d’ordre. Alors que la mission de l’ancien administrateur est terminée, OVHcloud remarque en effet dans les heures qui suivent le téléchargement d’un nombre important de projets internes. En tout, environ 250 projets sensibles – par exemple un schéma du contrôle d’accès des centres de données ou un fichier relatif aux badgeuses – ont été exfiltrés en trois temps. Le célèbre hébergeur nordiste alerte alors la DGSI et dépose plainte.
Curiosité intellectuelle ou malveillance ?
« C’était stupide de ma part, d’ailleurs je ne me suis pas caché », a expliqué l’informaticien. « Je voulais prendre quelques données pour ma connaissance personnelle et me former pendant le break qui allait suivre la fin de ma mission. » Son avocat, Me Christophe Bettati complète : « Il a agi par curiosité en regardant comment OVHcloud utilisait des technologies open source », une méthode d’apprentissage via des cas concrets plus rapides que la lecture de la documentation officielle.
« La complexité de ce dossier, c’est de savoir si c’était de la curiosité intellectuelle ou de la malveillance », souligne la substitut du procureur, Sophie Gschwind. Les réquisitions de la magistrate – une amende de 10 000 euros et un sursis probatoire de 18 mois – suggèrent qu’elle penche pour la seconde. Si aucune fuite ou vente de données relatives aux fichiers téléchargés n’a été observée, l’accusation n’a pas non plus la certitude que les données, qui pourraient avoir une valeur certaine sur les marchés noirs, n’ont pas été transmises à un tiers.
Une hypothèse qui « relève du scénario », rétorque Christophe Bettati. « Il ne faut pas exagérer la portée de ce dossier », ajoute-t-il. « Si on avait dit à mon client que ça relevait du tribunal correctionnel, il aurait immédiatement arrêté. » Et de relever l’absence au procès d’OVHcloud. L’entreprise avait évalué durant la procédure sa perte potentielle à 75 000 euros par jour en cas de fuite des données volées. Lundi, elle n’était toutefois pas représentée à l’audience pour présenter son préjudice réel.
