Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un prestataire de Siemens a planté une bombe logique dans des feuilles de calcul de l'entreprise
Il plaide coupable et encourt 10 ans de prison

Le , par Bill Fassinou

50PARTAGES

20  0 
David Tinley, 62 ans, a plaidé coupable à un chef d'accusation devant le juge de la Cour suprême des États-Unis, Peter J. Phipps. David Tinley, un ancien sous-traitant de Siemens, a plaidé coupable d'avoir planté une bombe logique dans des feuilles de calcul qu’il a lui-même créées pour l’entreprise. Résident de Harrison City, en Pennsylvanie, David Tinley encourt jusqu’à 10 ans d’emprisonnement ou une amende de 250 mille dollars, ou soit les deux en même temps.

Selon le déroulement des faits recueilli par la justice américaine, David Tinley a été employé par le bureau de Siemens à Monroeville, en Pennsylvanie, pendant près de dix ans. Son rôle consistait à fournir des services logiciels à l’entreprise et à créer des feuilles de calcul que la société utilisait pour gérer ses commandes matérielles. Les feuilles de calcul incluaient des scripts personnalisés qui mettraient à jour le contenu du fichier en fonction des commandes en cours stockées dans d’autres documents distants, permettant ainsi à la société d’automatiser la gestion des stocks et des commandes.

Cependant, alors que les dossiers de Tinley fonctionnaient pendant des années, ils ont commencé à ne plus fonctionner correctement vers 2014. Selon des documents judiciaires, Tinley a installé des bombes logiques qui se déclencheraient après une certaine date et feraient crasher les fichiers. Chaque fois que les scripts se bloquaient, Siemens appelait Tinley, qui réparait les fichiers moyennant des frais. Était-ce pour lui un moyen de pérenniser son job au sein de Siemens ? Tout compte fait, la manœuvre de Tinley n’aura pas mis longtemps à être découvert par les informaticiens de Siemens.


Le projet a duré deux ans, jusqu'en mai 2016, lorsque la tromperie de Tinley a été dévoilée par les employés de Siemens. Selon un rapport de Law360, le projet s'est effondré lorsque Tinley était en dehors de la ville et a dû confier un mot de passe administratif pour les feuilles de calcul au personnel informatique de Siemens afin qu'ils puissent corriger les scripts de buggy et exécuter une commande urgente. À leur grand étonnement, les informaticiens de Siemens ont remarqué la présence de bombes logiques, ce qui a déclenché une poursuite judiciaire contre Tinley. Ce dernier a été arrêté en mai dernier avant de plaider coupable le 19 juillet 2019.

Le procureur des États-Unis, Scott W. Brady a annoncé le vendredi 19 juillet que David Tinley a plaidé coupable devant le tribunal fédéral du district occidental de Pennsylvanie pour avoir intentionnellement endommagé un ordinateur protégé. En ce qui concerne le plaidoyer de culpabilité, le tribunal a été informé que, à partir de 2014 environ et jusqu’au 13 mai 2016, Tinley, un employé contractuel de Siemens Corporation à Monroeville en Pennsylvanie, avait intentionnellement inséré des bombes logiques dans des programmes informatiques qu'il a conçus pour Siemens Corporation. Les bombes logiques garantissaient le dysfonctionnement des programmes après l'expiration d'une certaine date.

En conséquence, Siemens ignorait la cause du dysfonctionnement et a demandé à chaque fois à Tinley de remédier à ces dysfonctionnements. Le juge Phipps a programmé la sentence pour la date du 8 novembre 2019 à 10h30. Aux États-Unis, la loi prévoit une peine maximale totale de 10 ans d'emprisonnement, une amende de 250 000 $, ou les deux. Selon les Directives fédérales sur la détermination de la peine, la peine effectivement infligée est fonction de la gravité de l'infraction et des antécédents criminels du défendeur, le cas échéant. Cela étant, beaucoup estiment que les chances de Tinley de ne pas avoir de peine d'emprisonnement sont minces.

Ils rappellent par exemple qu’en 2006, un ancien employé d'UBS PaineWebber a été condamné à huit ans de prison pour avoir planté une bombe logique sur le réseau de l'entreprise et avoir parié ses stocks. En septembre 2018, un homme d'Atlanta a été condamné à deux ans de prison pour avoir planté une bombe logique sur l'une des bases de données de paie de l'armée américaine, ce qui a entraîné un retard de 17 jours dans le paiement de la solde de l'armée de réserve américaine.

Sources : Document de la Cour, Plaidoyer

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Freelance : il n'a pas été payé, alors il a publié en open source le projet de son client. Comment s'assurer d'être payé pour son travail ?

Un ingénieur de Wall Street accusé d'avoir installé des logiciels malveillants sur le réseau de son employeur pour voler son code source

Des pirates ont lancé une campagne d'attaques pour cibler des employés de centrales nucléaires aux États-Unis depuis le mois de mai

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sinople
Membre chevronné https://www.developpez.com
Le 24/07/2019 à 11:11
Dans le fond c'est quoi la différence entre cette histoire et obsolescence programmée ?

Pratique encore largement utilisée par les ténors du secteur, pour ne pas dire faisant partie du coeur de leur modèle d'affaire.
14  1 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 24/07/2019 à 13:15
Citation Envoyé par sinople Voir le message
obsolescence programmée ?

Pratique encore largement utilisée par les ténors du secteur
Je ne vous le fais pas dire... J'ai un copain qui a du injecter du code générant de fausse popup d'erreur qui s'affichaient au bout de 8 mois dans des clients lourd Java lorsqu'il bossait en ESN...
Ce n'était évidemment pas une demande du client, et le pire... C'est que c'était dans son cahier des charges... (donc on imagine un cahier des charges pour le client et un autre customisé pour l'équipe de développement...)

6 mois plus tard on lui a demandé de modifier le système, ne plus afficher une popup au bout de 8 mois mais à partir de 8 mois intensifier progressivement le nombre de popup qui s'affichait... Sans doute que le client validait simplement l'erreur et s'en foutait.
Il a posé sa démission dans la foulée et est allé voir ailleurs.
11  0 
Avatar de sebastiano
Membre extrêmement actif https://www.developpez.com
Le 24/07/2019 à 10:24
Comme l'a dit le collègue plus haut, il allait forcément se faire attraper. Du code, ça reste, on peut planter n'importe quoi comme logique, il y a une trace et ça sera forcément repéré un jour.

Bref, faut pas être malin.
7  0 
Avatar de Jbx 2.0b
Membre chevronné https://www.developpez.com
Le 25/07/2019 à 15:01
En France on a une stratégie globale et complétement légale:

On multiplie les ESN/SSII blindées de développeurs peu expérimentés et mal payés. Le résultat est un code bugué et mal architecturé qui doit constamment être corrigé. Le turnover étant important bien souvent la correction est effectuée par une équipe qui n'a pas initié le projet, et qui n'a qu'une compréhension partielle des choix techniques effectués.
Tout cela faisant le bonheur des gérants des ESN qui peuvent indéfiniment placer des "collaborateurs" et récupérer les marges.

C'est très bon pour l'emploi ceci dit. Mais il ne faut pas aimer faire des logiciels.
7  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 24/07/2019 à 10:04
Les mecs croient vraiment ne jamais se faire choper?

encore, un type qui bosse juste comme un porc, ça peut passer, c'est juste un porc. Mais des trucs sophistiqués avec déclenchement programmé et tout? C'est tellement facile à trouver une fois qu'on sait qu'on cherche quelque chose...

Perso, je n'ai jamais vu ça, mais j'ai vu des trucs suspects(i.e. des numéros de carte bleue en dur dans le programmes), et j'ai tout de suite remonté l’information - en fait, c'était des numéros de cartes de tests, avec des autorisations spéciales, mais bloquées sur le plan comptable(parce-que bon, l'idée c'était de tester en vrai, mais sans ruiner la banque). La plupart des gens auraient tiqué comme moi, je crois. Si ça avait été une arnaque, elle aurait tout de suite été identifiée, par moi ou un autre.
6  0 
Avatar de 7gyY9w1ZY6ySRgPeaefZ
Expert confirmé https://www.developpez.com
Le 31/07/2019 à 15:16
Citation Envoyé par el_slapper Voir le message
Perso, je n'ai jamais vu ça, mais j'ai vu des trucs suspects(i.e. des numéros de carte bleue en dur dans le programmes), et j'ai tout de suite remonté l’information - en fait, c'était des numéros de cartes de tests, avec des autorisations spéciales, mais bloquées sur le plan comptable(parce-que bon, l'idée c'était de tester en vrai, mais sans ruiner la banque). La plupart des gens auraient tiqué comme moi, je crois. Si ça avait été une arnaque, elle aurait tout de suite été identifiée, par moi ou un autre.
Jeune padawan

Facile à trouver... dans excel...

D'habitude on n'appelle pas ça une bombe logique mais un bug de limitation dans la durée
1  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 24/07/2019 à 11:52
Citation Envoyé par Bill Fassinou Voir le message
Cependant, alors que les dossiers de Tinley fonctionnaient pendant des années, ils ont commencé à ne plus fonctionner correctement vers 2014. Selon des documents judiciaires, Tinley a installé des bombes logiques qui se déclencheraient après une certaine date et feraient crasher les fichiers. Chaque fois que les scripts se bloquaient, Siemens appelait Tinley, qui réparait les fichiers moyennant des frais. Était-ce pour lui un moyen de pérenniser son job au sein de Siemens ? Tout compte fait, la manœuvre de Tinley n’aura pas mis longtemps à être découvert par les informaticiens de Siemens.

Le projet a duré deux ans, jusqu'en mai 2016, lorsque la tromperie de Tinley a été dévoilée par les employés de Siemens. Selon un rapport de Law360, le projet s'est effondré lorsque Tinley était en dehors de la ville et a dû confier un mot de passe administratif pour les feuilles de calcul au personnel informatique de Siemens afin qu'ils puissent corriger les scripts de buggy et exécuter une commande urgente. À leur grand étonnement, les informaticiens de Siemens ont remarqué la présence de bombes logiques, ce qui a déclenché une poursuite judiciaire contre Tinley. Ce dernier a été arrêté en mai dernier avant de plaider coupable le 19 juillet 2019.
Son plan aurait pu fonctionner jusqu'au bout, Siemens aurait fini par changer de technologie et la stratégie de Tinley lui aurait donné un peu de boulot.
Mais il a été contraint de donner le mot de passe pour que les informaticiens de Siemens puissent aller bricoler dans le code VBA.

Pour trouver des missions certains rusent un peu. ^^
Bon après ce n'est pas éthique de faire ça et le gars risque gros.
0  0 
Avatar de VinnieMc
Membre habitué https://www.developpez.com
Le 01/08/2019 à 11:08
On devrait plutôt lui remettre une médaille pour avoir bien appris de son patron J'adore la justice américaine, 10 ans de prison pour 2 ans de maintenance superflue, sûrement facturée des cacahuètes, alors que Siemens vend des appareils programmés pour tomber en rade et aller à la poubelle après que la garantie a expiré, mais ça, ça ne compte pas...
0  1 
Avatar de jean12
Membre régulier https://www.developpez.com
Le 03/08/2019 à 23:28
Je crois qu'il ne faut pas confondre les bombes logiques avec la maintenance de code de façon globale.
La maintenance de code est nécessaire lorsque l'on doit intervenir sur une application qui utilise des services qui ont changé de paramétrage ou lorsqu'on doit faire évoluer l'application vers de nouvelles fonctionnalités ou simplement pour améliorer l'existant en termes de rapidité et d'efficacité. Nous sommes là très loin d'une intention de tromper, puisqu'on sait que les logiciels ont une durée de vie liée entre autres aux avancées technologiques et langages utilisés.
Donc si on rappelle pour adapter un service dont l'architecture a changé ou pour faire évoluer vers de nouveaux objectifs, cela est tout à fait normal, puisque généralement un cahier des charges spécifie l'intervention de l'informaticien.
Mais c'est dommage pour David Tinley!
0  1 
Avatar de deltree
Membre confirmé https://www.developpez.com
Le 31/07/2019 à 14:17
Citation Envoyé par deltree Voir le message
Alors ça c'est digne du dailywtf! je ne sais pas si vous connaissez le site!

Le gars avait vraiment trop de temps pour implémenter ça. Puis bon, "coder" en excel, faut le vouloir.
Mais la cerise sur le gâteau, c'est donner le mot de passe, à Siemens, société techno qui sait probablement lire du code; c'est pas un boulanger, et penser naivement que ça se verra pas.
WTF -4 sur mon message?
OK il est pas exceptionnel, mais je vois pas de quoi susciter un tel rejet? Ya un truc que je comprends pas dans cette comunauté desfois.
0  4 
Contacter le responsable de la rubrique Droit

Partenaire : Hébergement Web