Peter Williams, ancien directeur général de Trenchant, une division de l’entreprise de défense L3Harris qui a développé des outils de surveillance et de piratage pour les gouvernements occidentaux, a plaidé coupable la semaine dernière d’avoir volé certains de ces outils et de les avoir vendus à un courtier russe.
Un court document déposé dans l’affaire, ainsi que des reportages exclusifs de TechCrunch et des entretiens avec d’anciens collègues de Williams, expliquent comment Williams a pu voler les exploits très précieux et sensibles de Trenchant.
Williams, un citoyen australien de 39 ans connu au sein de l’entreprise sous le nom de « Doogie », a admis devant les procureurs qu’il avait volé et vendu huit exploits, ou « zéro-jour », qui sont des failles de sécurité dans un logiciel inconnues de son fabricant et extrêmement utiles pour pirater les appareils d’une cible. Williams a déclaré que certains de ces exploits, qu’il avait volés à sa propre société, Trenchant, valaient 35 millions de dollars, mais qu’il n’avait reçu que 1,3 million de dollars en crypto-monnaie du courtier russe. Williams a vendu les huit exploits sur plusieurs années, entre 2022 et juillet 2025.
Grâce à son poste et à son mandat chez Trenchant, selon le document judiciaire, Williams « a maintenu un accès « super-utilisateur » » au réseau sécurisé « interne, contrôlé par accès et authentifié multi-facteurs » de l’entreprise où ses outils de piratage étaient stockés et auquel seuls les employés ayant un « besoin de savoir » avaient accès.
En tant que « super-utilisateur », Williams pouvait consulter toutes les activités, journaux et données associés au réseau sécurisé de Trenchant, y compris ses exploits, note le document judiciaire. L’accès au réseau de l’entreprise Williams lui a donné un « accès complet » aux informations exclusives et aux secrets commerciaux de Trenchant.
Abusant de cet accès étendu, Williams a utilisé un disque dur externe portable pour transférer les exploits depuis les réseaux sécurisés des bureaux de Trenchant à Sydney, en Australie et à Washington, DC, puis sur un appareil personnel. À ce stade, Williams a envoyé les outils volés via des canaux cryptés au courtier russe, selon le document judiciaire.
Un ancien employé de Trenchant connaissant les systèmes informatiques internes de l’entreprise a déclaré à TechCrunch que Williams « se trouvait à l’échelon de confiance très élevé » au sein de l’entreprise en tant que membre de l’équipe de direction. Williams travaillait dans l’entreprise depuis des années, notamment avant l’acquisition par L3Harris d’Azimuth et de Linchpin Labs, deux startups sœurs qui ont fusionné avec Trenchant.
«Il était, à mon avis, perçu comme irréprochable», a déclaré l’ancien employé, qui a demandé à rester anonyme car il n’était pas autorisé à parler de son travail chez Trenchant.
« Personne n’avait aucune surveillance sur lui. Il était en quelque sorte autorisé à faire les choses comme il le voulait », ont-ils déclaré.
Contactez-nous
Avez-vous plus d’informations sur cette affaire et sur la fuite présumée des outils de piratage Trenchant ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
Un autre ancien employé, qui a également demandé à rester anonyme, a déclaré que « la conscience générale est que quel que soit le (directeur général), il aurait un accès illimité à tout ».
Avant l’acquisition, Williams a travaillé chez Linchpin Labs, et auparavant à l’Australian Signals Direction, l’agence de renseignement du pays chargée des écoutes numériques et électroniques, selon le podcast de cybersécurité Risky Business.
Sara Banda, porte-parole de L3Harris, n’a pas répondu à une demande de commentaire.
« Graves dégâts »
En octobre 2024, Trenchant « a été alerté » qu’un de ses produits avait fui et était en possession d’un « courtier en logiciels non autorisé », selon le document judiciaire. Williams a été chargé de l’enquête sur la fuite, qui a exclu un piratage du réseau de l’entreprise, mais a révélé qu’un ancien employé « avait accédé de manière inappropriée à Internet à partir d’un appareil à air isolé », selon le document judiciaire.
Comme TechCrunch l’a précédemment et exclusivement rapporté, Williams a licencié un développeur de Trenchant en février 2025 après l’avoir accusé d’avoir un double emploi. L’employé licencié a appris plus tard de certains de ses anciens collègues que Williams l’accusait d’avoir volé les zéro-days de Chrome, auxquels il n’avait pas accès puisqu’il travaillait sur le développement d’exploits pour iPhone et iPad. En mars, Apple a informé l’ancien employé que son iPhone avait été la cible d’une « attaque de logiciels espions mercenaires ».
Dans une interview avec TechCrunch, l’ancien développeur de Trenchant a déclaré qu’il pensait que Williams l’avait piégé pour dissimuler ses propres actions. On ne sait pas si l’ancien développeur est le même employé mentionné dans le court document.
En juillet, le FBI a interrogé Williams, qui a déclaré aux agents que « le moyen le plus probable » de voler des produits sur le réseau sécurisé serait qu’une personne ayant accès à ce réseau télécharge les produits sur un « appareil isolé… comme un téléphone portable ou un disque externe ». (Un appareil à air isolé est un ordinateur ou un serveur qui n’a pas accès à Internet.)
Il s’est avéré que c’est exactement ce que Williams a avoué au FBI en août après avoir été confronté aux preuves de ses crimes. Williams a déclaré au FBI qu’il avait reconnu que son code était utilisé par un courtier sud-coréen après l’avoir vendu au courtier russe ; cependant, on ne sait toujours pas comment le code de Trenchant a fini par parvenir au courtier sud-coréen.
Williams a utilisé le pseudonyme « John Taylor », un fournisseur de messagerie étranger, et des applications cryptées non spécifiées lors de ses interactions avec le courtier russe, probablement Operation Zero. Il s’agit d’un courtier basé en Russie qui propose jusqu’à 20 millions de dollars pour des outils permettant de pirater les téléphones Android et les iPhones, qu’il dit vendre « uniquement à des organisations privées et gouvernementales russes ».
Wired a été le premier à signaler que Williams a probablement vendu les outils volés à Operation Zero, étant donné que le document judiciaire mentionne une publication de septembre 2023 sur les réseaux sociaux annonçant une augmentation des « primes versées par le courtier anonyme de 200 000 $ à 20 000 000 $ », ce qui correspond à une publication d’Operation Zero sur X à l’époque.
Operation Zero n’a pas répondu à la demande de commentaires de TechCrunch.
Williams a vendu le premier exploit pour 240 000 $, avec la promesse de paiements supplémentaires après confirmation des performances de l’outil, ainsi que d’un support technique ultérieur pour maintenir l’outil à jour. Après cette première vente, Williams a vendu sept autres exploits, acceptant un paiement total de 4 millions de dollars, bien qu’il n’ait finalement reçu que 1,3 million de dollars, selon le document judiciaire.
Le cas de Williams a ébranlé la communauté offensive de la cybersécurité, où sa rumeur d’arrestation était un sujet de conversation depuis des semaines, selon plusieurs personnes travaillant dans l’industrie.
Certains de ces initiés de l’industrie considèrent les actions de Williams comme causant de graves dommages.
« C’est une trahison envers l’appareil de sécurité nationale occidental, et c’est une trahison envers le pire type d’acteur menaçant que nous ayons actuellement, à savoir la Russie », a déclaré à TechCrunch l’ancien employé de Trenchant connaissant les systèmes informatiques de l’entreprise.
« Parce que ces secrets ont été confiés à un adversaire qui va absolument saper nos capacités et qui va potentiellement même les utiliser contre d’autres cibles. »
