Un ancien ingénieur d’Ubiquiti, Nickolas Sharp, a été condamné hier à six ans de prison après avoir plaidé coupable devant un tribunal de New York pour avoir volé des dizaines de gigaoctets de données confidentielles, exigé une rançon de 1,9 million de dollars de son ancien employeur, puis publié les données publiquement. lorsque ses demandes ont été refusées.

Sharp n’avait demandé aucune peine de prison, déclarant à la juge de district américaine Katherine Polk Failla que la cyberattaque était en fait un « exercice de sécurité non autorisé » qui a laissé Ubiquiti « un endroit plus sûr pour lui-même et pour ses clients », a rapporté Bloomberg. Dans un document judiciaire, Sharp a affirmé que le PDG d’Ubiquiti, Robert Pera, avait empêché Sharp de « résoudre les problèmes de sécurité en suspens », et Sharp a déclaré au juge que cela avait conduit à une « hyperfixation idiote » sur la correction de ces failles de sécurité.

Cependant, même si c’était la véritable motivation de Sharp, Failla n’a pas accepté sa justification de ses crimes, qui incluent la fraude électronique, l’endommagement intentionnel d’ordinateurs protégés et le mensonge au FBI.

« Ce n’était pas à M. Sharp de jouer à Dieu dans ces circonstances », a déclaré Failla.

L’avocat américain du district sud de New York, Damian Williams, a fait valoir que Sharp n’était pas un « justicier de la cybersécurité » mais un « menteur invétéré et voleur de données » qui « présentait une tromperie artificielle à la Cour selon laquelle toute cette infraction n’était en quelque sorte qu’un exercice de sécurité malavisé. » Williams a déclaré que Sharp avait pris « des dizaines, voire des centaines, de décisions pénales » et avait même impliqué des collègues innocents pour « détourner les soupçons ». Sharp avait également déjà admis lors de la pré-condamnation que la cyberattaque avait été planifiée pour un « gain financier ». Williams a déclaré que Sharp l’avait fait apparemment par « pure cupidité » et par ego parce que Sharp « se sentait maltraité » – surmené et sous-payé – par la société informatique, a déclaré Williams.

Des documents judiciaires montrent qu’Ubiquiti a dépensé « bien plus de 1,5 million de dollars et des centaines d’heures d’employés et de consultants » pour essayer de remédier à ce que Williams a décrit comme le vol « époustouflant » de Sharp. Mais l’entreprise a perdu bien plus que cela lorsque Sharp a tenté de dissimuler ses crimes, se faisant passer pour un lanceur d’alerte, produisant de faux rapports dans les médias et contactant les régulateurs américains et étrangers pour enquêter sur la prétendue minimisation de la violation de données par Ubiquiti. En une seule journée après que Sharp ait publié de faux rapports, les actions ont chuté, faisant perdre à Ubiquiti plus de 4 milliards de dollars en valeur de capitalisation boursière, selon des documents judiciaires.

L’avocat d’Ubiquiti et de Sharp, Matthew Myers, n’a pas immédiatement répondu à la demande de commentaire d’Ars.

Williams avait poussé le tribunal à imposer une peine de huit à dix ans, arguant que rien de moins serait perçu par le public comme une « claque sur les doigts ». La peine de six ans de Sharp est légèrement inférieure à cela, mais dans un communiqué de presse, Williams a décrit la peine comme imposant de « sérieuses sanctions » pour les « crimes impitoyables » de Sharp.

« Il était mécontent de son employeur, envisageait de quitter l’entreprise et voulait extorquer des millions de dollars et causer des dommages en sortant », a déclaré Williams dans sa note de condamnation.