Un ancien ingénieur d’Amazon accusé d’avoir volé les informations personnelles des clients de Capital One dans l’une des plus importantes infractions aux États-Unis a été reconnu coupable de fraude électronique et de piratage informatique vendredi.
Un jury de Seattle a conclu que Paige Thompson, 36 ans, avait violé une loi anti-piratage connue sous le nom de Computer Fraud and Abuse Act, qui interdit l’accès à un ordinateur sans autorisation. Le jury l’a déclarée non coupable d’usurpation d’identité et de fraude liée à un dispositif d’accès.
Mme Thompson avait travaillé comme ingénieur logiciel et dirigé une communauté en ligne pour d’autres travailleurs de son industrie. En 2019, elle a téléchargé des informations personnelles appartenant à plus de 100 millions de clients de Capital One. Son équipe juridique a fait valoir qu’elle avait utilisé les mêmes outils et méthodes que les pirates éthiques qui recherchent les vulnérabilités logicielles et les signalent aux entreprises afin qu’elles puissent être corrigées.
Mais le ministère de la Justice a déclaré que Mme Thompson n’avait jamais prévu d’alerter Capital One des problèmes qui lui donnaient accès aux données des clients, et qu’elle s’était vantée auprès de ses amis en ligne des vulnérabilités qu’elle avait découvertes et des informations qu’elle avait téléchargées. Mme Thompson a également utilisé son accès aux serveurs de Capital One pour exploiter la crypto-monnaie, a déclaré le ministère de la Justice.
“Elle voulait des données, elle voulait de l’argent et elle voulait se vanter”, a déclaré Andrew Friedman, un avocat américain adjoint, dans ses plaidoiries.
Le cas de Mme Thompson a attiré l’attention de l’industrie technologique en raison des accusations portées en vertu de la Computer Fraud and Abuse Act. Les détracteurs de la loi ont fait valoir qu’elle est trop large et permet de poursuivre les soi-disant pirates informatiques. Le mois dernier, le ministère de la Justice a déclaré aux procureurs qu’ils ne devraient plus utiliser la loi pour poursuivre les pirates qui se sont livrés à des “recherches de sécurité de bonne foi”.
Le jury a délibéré pendant 10 heures avant de déclarer Mme Thompson coupable de cinq chefs d’accusation d’accès non autorisé à un ordinateur protégé et d’endommagement d’un ordinateur protégé, en plus des accusations de fraude électronique. Elle devrait être condamnée le 15 septembre.
Un avocat de Mme Thompson a refusé de commenter le verdict.
Capital One a découvert la violation en juillet 2019 après qu’une femme qui avait parlé avec Mme Thompson des données a signalé le problème à Capital One. Capital One a transmis l’information au Federal Bureau of Investigation et Mme Thompson a été arrêtée peu de temps après.
Les régulateurs ont déclaré que Capital One ne disposait pas des mesures de sécurité nécessaires pour protéger les informations des clients. En 2020, la banque a accepté de payer 80 millions de dollars pour régler ces réclamations. En décembre, il a également accepté de verser 190 millions de dollars aux personnes dont les données avaient été exposées lors de la violation.
“Mme. Thompson a utilisé ses compétences de piratage pour voler les informations personnelles de plus de 100 millions de personnes et a détourné des serveurs informatiques pour exploiter la crypto-monnaie », a déclaré Nicholas W. Brown, l’avocat américain du district ouest de Washington, dans un communiqué. “Loin d’être une hacker éthique essayant d’aider les entreprises dans leur sécurité informatique, elle a exploité les erreurs pour voler des données précieuses et a cherché à s’enrichir.”
