Les systèmes informatiques d’International Business Machines et d’AT&T ont été pénétrés à plusieurs reprises par des pirates étrangers, et les sociétés ont caché ces intrusions au gouvernement américain en violation de la loi, selon une plainte déposée par un ancien responsable de la cybersécurité d’IBM.
William Barlow, ancien vice-président du renseignement sur les menaces chez IBM, a allégué dans la plainte que les entreprises n’avaient pas divulgué de multiples violations au fil des ans par des attaquants ayant des liens avec des gouvernements étrangers et avaient donné de fausses assurances sur la sécurité de leurs systèmes pour remporter et conserver des contrats fédéraux.
La plainte du lanceur d’alerte contre IBM et AT&T a été déposée à titre privé en 2020 et est toujours pendante devant le tribunal fédéral de New York. Cette information a été rendue publique cette semaine après que le gouvernement américain a refusé d’intervenir dans cette affaire, mais elle n’avait pas été signalée auparavant.
Le procès fournit un compte rendu rare de failles de sécurité présumées chez deux principaux sous-traitants du gouvernement. Cela soulève des questions sur la protection des informations sensibles sur les réseaux et sur la responsabilité des entreprises qui divulguent de telles violations.
Les pirates auraient piraté une énorme infrastructure de cloud computing IBM largement utilisée par de nombreuses branches du gouvernement américain, y compris l’armée. AT&T exploite ce « réseau central » pour le compte d’IBM, et les systèmes de l’opérateur basé à Dallas en font partie, selon la plainte.
La poursuite allègue que des pirates informatiques étrangers inconnus ont infiltré les réseaux à plusieurs reprises et que les entreprises pourraient ne pas être en mesure de déterminer qui l’a fait ou ce qui a été volé. Il indique également qu’IBM a minimisé ou dissimulé l’incident avant de conclure un accord gouvernemental exigeant la certification qu’il n’y avait pas de problèmes de cybersécurité importants non résolus.
« Cette plainte a été déposée il y a six ans, mais le ministère américain de la Justice a refusé d’intervenir », a déclaré Adam Pratt, porte-parole d’IBM. « IBM est convaincu que nos actions étaient conformes à la lettre de la loi. »
Les représentants d’AT&T n’ont pas répondu aux demandes de commentaires.
Barlow a travaillé pour IBM pendant deux ans à partir de 2002 et a été vice-président du renseignement sur les menaces de 2017 jusqu’à sa démission en 2019, selon la plainte. Il a été cité dans un rapport du New York Times de 2018 selon lequel IBM proposait une formation en cybersécurité dans un centre de commande mobile intégré à un camion semi-remorque personnalisé. Depuis qu’il a quitté Armonk, Barlow, basé à New York, a maintenu une grande visibilité dans le secteur de la sécurité en assistant à des conférences et en prenant la parole.
L’avocat de M. Barlow, Jason T. Brown, a refusé de discuter des circonstances de la démission de son client ou de dire si le ministère de la Justice avait enquêté sur les allégations contenues dans le procès False Claims Act. La décision du gouvernement d’intervenir dans de tels cas prend souvent des années, et ce n’est pas parce que les autorités fédérales choisissent de ne pas s’impliquer que cela vaut la peine de porter plainte, a déclaré Brown. Il a ajouté que les allégations concernaient les activités fédérales multimilliardaires d’AT&T avec IBM.
« Nous sommes impatients de plaider cette affaire de manière agressive », a déclaré M. Brown, dont le cabinet d’avocats s’appelle Brown LLC. « Vous ne pouvez pas vendre la cybersécurité au gouvernement fédéral tout en ayant prétendument des problèmes de sécurité au sein de votre propre entreprise. »
Barlow a affirmé dans son procès qu’il avait personnellement été témoin de nombreuses violations du réseau central d’IBM et qu’il avait subi des pressions de la part des dirigeants pour qu’ils atténuent les rapports internes et omettent des détails. Barlow a affirmé avoir connaissance de cas spécifiques dans lesquels les hauts dirigeants d’IBM « ont pris des mesures actives pour dissimuler et dissimuler » les piratages des régulateurs américains et des clients gouvernementaux.
« La violation de données était si importante et le réseau central était si mal conçu que ni IBM ni AT&T ne savent exactement quelles données ont été compromises, qui a commis la violation de données, où la violation de données s’est produite, ou si les données ont été divulguées, falsifiées et/ou altérées de quelque manière que ce soit », affirme la plainte.
Certaines des violations citées dans le procès auraient impliqué des pirates informatiques soutenus par le gouvernement chinois.
En 2018, le ministère américain de la Justice a inculpé deux membres présumés d’un groupe de pirates informatiques chinois pour une opération d’une décennie visant à voler les données de 100 000 membres de la marine américaine. Barlow a déclaré dans son procès qu’un groupe connu sous le nom d’APT 10 avait infiltré le réseau d’IBM et commis le vol.
Selon la plainte, les agences de renseignement ont déclaré à IBM que les adresses Internet associées au réseau de l’entreprise étaient connectées à l’infrastructure utilisée par APT 10. Une enquête interne a révélé plus de 50 000 « hits potentiels d’APT 10 » entre 2013 et 2016, affirme la plainte. Une enquête interne distincte menée l’année suivante a révélé que les attaquants avaient accès à environ 400 comptes compromis, totalisant environ 200 systèmes et serveurs dans toutes les unités commerciales de 18 pays, selon la plainte.
Cependant, l’entreprise n’a pas pu enquêter davantage car elle ne tenait pas de journaux d’accès, selon la plainte.
L’ambassade de Chine à Washington n’a pas répondu à une demande de commentaire.
Selon la plainte, des agents de la National Security Agency ont interrogé Barlow sur le piratage présumé en provenance de Chine, mais on lui a dit de « s’enfuir ». Il n’y a aucune mention de qui aurait donné cette instruction à Barlow.
Barlow a déposé une plainte en 2020, mais elle est restée secrète jusqu’à ce qu’elle soit dévoilée mercredi.
Le False Claims Act interdit de soumettre de fausses demandes de paiement au gouvernement américain. La loi autorise les lanceurs d’alerte privés à poursuivre le gouvernement pour fraude présumée. Les autorités fédérales peuvent intervenir et gérer efficacement de tels incidents. Le gouvernement peut récupérer jusqu’à trois fois le montant des dommages et intérêts, et le lanceur d’alerte peut recevoir une partie des dommages et intérêts.
Un juge fédéral de New York a ordonné la descellation du procès ce printemps après que le gouvernement américain a refusé d’intervenir. Les archives judiciaires n’expliquent pas la décision du gouvernement, et l’avocat de M. Barlow, M. Brown, a déclaré qu’il n’en connaissait pas le motif.
Le ministère de la Défense et de la Justice n’a pas répondu aux questions envoyées par courrier électronique.
