Un juge de Pittsburgh a condamné un développeur de logiciel malveillant à deux ans de probation sans peine d’emprisonnement pour son implication dans un botnet de spam. Il s’agit de Sean Tiernan, 29 ans, qui vient de Santa Clara en Californie.Selon le FBI, il contrôlait un botnet composé de plus de 77 000 ordinateurs infectés par des logiciels malveillants que Tiernan utilisait pour envoyer des messages spam. Les autorités ont expliqué que Tiernan a loué ce botnet à d'autres et a fait des bénéfices en proposant d'envoyer des spams en leur nom.
Lorsque les autorités ont obtenu un mandat de perquisition pour sa résidence, Tiernan a été coopératif et a plus tard plaidé coupable de violation du CAN-SPAM Act. Pour rappel, le CAN-SPAM fut voté en 2003 par le Congrès américain et signifie « Controlling the Assault of Non Solicited Pornography and Marketing Act ». En clair, il s’agit de la loi américaine qui régit l’envoi d’e-mails commerciaux. Elle est effective depuis le premier janvier 2004.
Alors que la règle européenne est basée sur l’Opt in, c’est-à-dire qu’il faut impérativement que le consommateur ait donné son autorisation pour qu’il reçoive des e-mails à caractères commerciaux, le CAN-SPAM Act oblige les expéditeurs à désinscrire (Opt out) une adresse e-mail si l’internaute en fait la demande. En clair, cela signifie qu’aux États-Unis, les entreprises ont le droit d’envoyer un e-mail commercial à n’importe qui jusqu’à ce que celui-ci s’y oppose.
Tiernan a reçu son verdict cette semaine. Selon les documents de la Cour, son avocat a pu obtenir qu’il évite la prison en raison de la nature non intrusive de son crime. Tiernan a fait valoir que les logiciels malveillants qu'il a créés et diffusés via les médias sociaux ne font que transformer les ordinateurs infectés en proxy et n'ont pas volé les données financières des utilisateurs, ni effectué aucune extorsion que ce soit.
En outre, le logiciel malveillant était également « facilement amovible » et ne collectait que les adresses IP des personnes, un type d'informations que les tribunaux américains ne considèrent plus comme des données privées.
Il a également assuré que les spams qu'il a envoyés étaient seulement des publicités, pas des fichiers chargés de logiciels malveillants, et « bien que le système ait duré plusieurs années, les bénéfices du système étaient relativement faibles. »
D’ailleurs, son avocat a indiqué qu'il « a utilisé le plus gros de l'argent qu'il a fait sur cette activité pour payer ses frais d'université ainsi que les dépenses associées à sa vie universitaire. »
« En bref, le préjudice causé par le régime – bien que réel – était relativement mineur », a plaidé son avocat. Il a également soutenu que Tiernan, qui est le fils d'un consultant en informatique, « a suivi les traces de son père et a appris à coder et naviguer sur Internet à un très jeune âge », mais s’est impliqué dans les activités de botnet spam, qu’il a menées avec des adultes, dans les années 2000 alors qu’il était mineur.
« Au moment où il a rejoint cette organisation, Sean n'a pas apprécié le sérieux de ce à quoi lui et ses partenaires étaient exposés, ou qu'il pouvait potentiellement atterrir en prison[...] Il pensait (à tort) que tant qu'ils n'accédaient pas à des informations privées telles que des documents bancaires ou financiers sur ces ordinateurs, ils ne faisaient rien de particulièrement mauvais. »
Selon son avocat, Tiernan est maintenant inscrit au programme d'études supérieures en cybersécurité de Stanford et travaille à devenir un professionnel certifié en sécurité des systèmes d'information (CISSP).
Source : département de la justice, BC
Envoyé par Stéphane le calme
