Un expert en sécurité informatique qui a remporté un paiement sans précédent dans le cadre d'un procès pour dénonciateur concernant des failles de sécurité critiques qu'il a découvertes en octobre 2008 dans le logiciel de vidéosurveillance Cisco Systems Inc. pensait que sa découverte serait une étape importante pour sa carrière.

James Glenn imaginait à l'époque que Cisco le créditerait sur son site internet. Le logiciel était, après tout, utilisé dans les principaux aéroports internationaux des États-Unis et plusieurs agences fédérales avec des missions sensibles

"Je veux dire, c'était une réalisation assez décente, " Glenn a déclaré jeudi lors d'un entretien téléphonique.

Au lieu, il a été licencié par le revendeur Cisco au Danemark qui l'employait, qui a cité les besoins de réduction des coûts. Et Cisco a gardé les failles de son système Video Surveillance Manager silencieuses pendant cinq ans.

Mercredi seulement, lorsqu'un règlement de 8,6 millions de dollars a été annoncé et que le procès qu'il a déposé en 2011 en vertu de la loi fédérale sur les fausses réclamations a été descellé, était l'épreuve de Glenn révélée, ainsi que le danger potentiel posé par le long silence de Cisco.

La loi permet aux dénonciateurs de signaler la fraude et l'inconduite dans les contrats fédéraux - pour la vente de produits défectueux, essentiellement et collecter des récompenses financières lorsque les réclamations aboutissent. Les avocats de Glenn ont déclaré qu'il s'agissait de la première affaire de cybersécurité plaidée avec succès en vertu de la FCA.

L'expert en cybersécurité Chris Wysopal de Veracode a déclaré que l'affaire innove en indiquant clairement que les vulnérabilités de sécurité entrent désormais dans la catégorie des produits défectueux.

« Cela permet un nouveau type de prime de bogue pour les chercheurs en sécurité si les fournisseurs traînent les pieds, continuer à vendre leurs produits aux gouvernements sans signaler le risque dont ils ont connaissance et sans corriger leurs défauts, " il a dit.

L'exploit Glenn, 42, découvert aurait donné à un attaquant un accès administratif complet au logiciel qui gérait les flux vidéo, leur permettant d'être surveillés à partir d'un seul endroit, dit le procès. Il pourrait également permettre un accès non autorisé aux systèmes connectés sensibles.

Cela signifiait qu'un intrus pouvait avoir pris le contrôle ou contourné les systèmes de sécurité physique tels que les serrures et les alarmes incendie, qui sont régulièrement connectés à des systèmes de caméras.

"Un utilisateur non autorisé pourrait effectivement fermer un aéroport entier en prenant le contrôle de toutes les caméras de sécurité et en les éteignant, ", indique le procès. Les aéroports touchés comprenaient Los Angeles International et Chicago's Midway, ça dit.

"Vous pouviez pénétrer dans l'ensemble du système. Et vous pouviez le faire sans aucune trace. Et avoir un accès backdoor complet au système quand vous le vouliez, " a déclaré Michael Ronickher, un avocat représentant Glenn au sein du cabinet Constantine Cannon LLP.

Le logiciel a également été utilisé par le quartier général du groupe de travail sur la biométrie du ministère de la Défense, les services secrets américains, le ministère de la Sécurité intérieure, l'armée, la marine, le Corps des Marines, la National Aeronautics and Space Administration et la Federal Emergency Management Agency, ainsi que les postes de police, prison, écoles et par Amtrak dans ses gares, dit le procès.

"Je me sens justifié, mais pas dans le sens de la fête, " dit Glenn, qui reçoit 20% du paiement du règlement, le reste allant au gouvernement fédéral, 15 États et le District de Columbia.

"Je pense qu'en termes de niveau de punition pour l'autre partie, ce n'est peut-être pas si important, " il ajouta.

Cisco a publié mercredi un communiqué disant qu'il était "satisfait d'avoir résolu" le différend et qu'"il n'y avait aucune allégation ou preuve qu'un accès non autorisé à la vidéo des clients s'était produit" en raison de l'architecture du produit. Mais il a ajouté que les flux vidéo pourraient "théoriquement avoir fait l'objet d'un piratage".

Ronickher, L'avocat de Glenn, a noté que la poursuite ne concerne pas tous les sites internationaux qui ont acheté le logiciel Cisco, qui, selon lui, comprend l'aéroport d'Auckland, Le plus grand de Nouvelle-Zélande.

Quand Glenn a découvert les défauts, il a immédiatement alerté Cisco, mais le géant américain de la technologie ne les a reconnus qu'en 2013, lorsqu'il a émis une alerte de sécurité concernant « plusieurs vulnérabilités de sécurité » dans le logiciel.

Cet avis est intervenu deux ans après que les autorités fédérales ont commencé à enquêter.

Le revendeur, NetDesign, a congédié Glenn en mars 2009, disent ses avocats.

Deux ans plus tard, après que la sœur de Glenn ait informé le FBI et que le procès ait été déposé, affirmant que Cisco avait fraudé le gouvernement fédéral américain, gouvernements étatiques et locaux qui ont acheté le système logiciel.

Le 22 juillet, les plaignants ont réglé avec Cisco dans une affaire intentée dans le district ouest de New York.

Les avocats de Glenn et Cisco ont tous deux annoncé le montant du règlement de 8,6 millions de dollars que les plaignants sont dus.

Glenn, le fils d'un Marine originaire de Virginie, vit maintenant en Bulgarie et travaille pour la même entreprise depuis 2011, qu'il a refusé de nommer.

Il a dit qu'il est marié, avec un enfant.

© 2019 La Presse Associée. Tous les droits sont réservés.