L3Harris spotter

Le directeur général d’un vendeur américain de failles de sécurité susceptibles d’être exploitées par les services de renseignement techniques vient d’être condamné pour en avoir volé huit, et les avoir vendues à son principal concurrent… russe. Ce dernier, ainsi que cinq personnes et entités associées, viennent par ailleurs d’être sanctionnés.

Le business des « 0days », du nom donné aux vulnérabilités logicielles non identifiées par leurs éditeurs (et donc non patchées) est devenu tellement profitable que le directeur général d’un fournisseur attitré des États-Unis et de ses partenaires anglo-saxons de l’alliance des « Five Eyes » vient d’être condamné à sept ans et trois mois de prison pour en avoir volé et vendu huit, pour 4 millions de dollars en cryptoactifs, à un courtier russe.

La justice états-unienne n’a pas mentionné le nom de ce dernier dans son communiqué, mais le département du Trésor et le département d’État viennent, dans le même temps, de sanctionner Operation Zero, le principal broker russe de 0days, tout en le reliant explicitement à la condamnation de Peter Williams.

La journaliste spécialisée Kim Zetter raconte que cet Australien de 39 ans résidant à Washington avait initialement travaillé au sein de l’Australian Signals Directorate (ASD), l’agence australienne de renseignement électronique à l’étranger, partenaire de la NSA.

Après l’avoir quittée, il avait travaillé pour une entreprise privée australienne spécialisée dans la recherche de vulnérabilités et les « computer network operations » (CNE), du nom donné par les « Five Eyes » aux capacités cyberoffensives.

En 2018, le géant américain L3Harris rachetait Azimuth Security et Linchpin Labs, deux entreprises australiennes spécialisées dans le développement d’exploits, où Williams travaillait depuis son départ de l’ASD en 2016.

En octobre 2024, Peter Williams était nommé directeur général de Trenchant, l’entreprise née de ce rachat. Hasard ou coïncidence, Trenchant avait appris, à peu près au même moment, que certains de ses actifs logiciels avaient fuité hors de son réseau sécurisé, et se trouvaient entre les mains d’un courtier étranger.

Trenchant avait alors lancé, ce même mois d’octobre 2024, une enquête interne, supervisée par Williams lui-même. Elle avait conclu que le réseau sécurisé de Trenchant n’avait pas été compromis, « à l’exception d’un ancien employé qui, pendant qu’il était en poste, avait accédé de manière inappropriée à Internet à partir d’un appareil isolé ».

Kim Zetter souligne en effet que Trenchant conserve son code sensible sur un réseau sécurisé isolé déconnecté d’Internet (« air-gapped »), afin d’empêcher tout risque de fuite.

Pour tenter de brouiller les pistes, Peter Williams avait alors lui-même accusé un autre salarié de Trenchant d’être à l’origine de la fuite de plusieurs vulnérabilités inconnues du navigateur Chrome, avant de le licencier.

Une accusation d’autant plus improbable que le bouc émissaire faisait partie d’une équipe chargée exclusivement de l’identification de failles zero-day dans iOS et du développement de logiciels espions pour les terminaux Apple.

Encore plus étrangement, s’étonne Kim Zetter, Williams avait continué à vendre des exploits au broker russe alors même qu’il savait que le FBI enquêtait sur le vol de codes de Trenchant. En juin 2025, il avait même signé un nouveau contrat de 500 000 dollars avec le broker russe, et lui transmettait de nouveaux « secrets logiciels » quelques jours seulement avant de rencontrer le FBI à ce sujet.

Pire : après avoir reçu un premier versement, en crypto-monnaies, il l’avait blanchi, comme à son habitude, mais plutôt que de laisser la somme sur un compte dédié, et non relié à son identité, il avait transféré la somme correspondante sur l’un de ses comptes bancaires.

Un préjudice estimé à au moins 35 millions de dollars

D’après l’acte d’accusation, que nous avions déjà évoqué lors de son inculpation, en octobre 2025, Williams aurait obtenu 1,3 million de dollars en échange de ces secrets commerciaux entre 2022 et 2025, sur les 4 millions de dollars initialement escomptés, tempère Kim Zetter.

• Le directeur d’un prestataire US de failles « 0-day » accusé d’en avoir vendu à la Russie

L’intégralité des fonds (y compris en cryptos) déposés dans sept comptes bancaires avait alors été saisie, ainsi qu’une liste d’objets de valeur à son domicile, dont plusieurs bagues de diamant Tiffany, un sac à main Louis Vuitton, des vestes Moncler, et 24 montres de luxe (dont huit « replicas », copies plutôt haut de gamme, difficiles à distinguer des originales).

Le procureur précise que Williams avait aussi acheté une Tesla Model X 2022, une Porsche Panamera 2018, des biens immobiliers, dépensé 5 000 dollars pour quatre bagages de luxe et plus de 715 000 dollars pour des vacances de luxe entre 2022 et 2025. 

Kim Zetter rapporte que le département de la Justice avait réclamé une peine de neuf années de prison, 250 000 dollars d’amendes, et le remboursement des 35 millions de dollars de pertes pour Trenchant.

Williams avait en effet lui-même estimé, auprès du FBI, que la vente de deux des « secrets » qu’il avait vendus au broker russe représentait à elle seule une perte d’environ 35 millions de dollars de préjudice pour Trenchant.

Cyberscoop indique qu’une audience visant à obtenir une restitution supplémentaire liée à ces 35 millions de dollars de préjudice est par ailleurs prévue en mai.

Des brokers russes prêts à payer jusqu’à 20 millions de dollars

Le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor américain a donc, en parallèle, désigné Sergey Sergeyevich Zelenyuk (Zelenyuk) et sa société, Matrix LLC (opérant sous le nom d’Operation Zero), ainsi que cinq personnes et entités associées, pour leur acquisition et leur distribution d’outils informatiques nuisibles à la sécurité nationale des États-Unis. 

L’OFAC précise que « parmi les exploits acquis par Operation Zero figuraient au moins huit cyber-outils propriétaires, créés pour l’usage exclusif du gouvernement américain et de certains alliés, et qui avaient été volés à une entreprise américaine » :

« Cette action coïncide avec une enquête menée par le ministère de la Justice et le Federal Bureau of Investigation (FBI) sur Peter Williams, un ressortissant australien et ancien employé de la société américaine susmentionnée qui a plaidé coupable le 29 octobre 2025 de deux chefs d’accusation pour vol de secrets commerciaux. »

Si Operation Zero souligne sur son site web que « Nos clients sont exclusivement des organisations privées et gouvernementales russes », l’OFAC avance que Zelenyuk aurait déclaré qu’il ne vendrait d’exploits qu’à des clients de pays non membres de l’OTAN, et donc pas forcément russes.

En octobre 2023, arguant d’une forte demande du marché, Operation Zero avait été jusqu’à passer de 200 000 à 20 millions de dollars le montant maximum des primes proposées en échange d’exploits iOS ou Android, comme l’avait documenté TechCrunch.

Zelenyuk et Operation Zero auraient notamment cherché à « développer d’autres systèmes de cyber-renseignement, notamment des logiciels espions et des méthodes permettant d’extraire des informations d’identification personnelle et d’autres données sensibles téléchargées par les utilisateurs d’applications d’intelligence artificielle telles que les grands modèles de langage ».

L’OFAC désigne également Azizjon Makhmudovich Mamashoyev et Oleg Vyacheslavovich, pour avoir entretenu des relations professionnelles avec Operation Zero, ainsi que Marina Evgenyevna Vasanovich, l’assistante de Zelenyuk.

Ressortissant russe, Kucherov est soupçonné d’appartenir au groupe cybercriminel Trickbot, accusé de multiples attaques par ransomware contre le gouvernement américain, ainsi que contre des hôpitaux et des centres de soins de santé à travers les États-Unis. 

Next était revenu en détail sur leurs faits d’armes lorsque la justice états-unienne avait identifié sept de ses membres, dont une développeuse web de 55 ans arrêtée à Miami : Alla Witte, au profil somme toute détonant eu égard aux clichés d’ordinaire véhiculés au sujet des cybercriminels russophones.

• Une développeuse web risque 87 années de prison

Mamashoyev est quant à lui à la tête d’Advance Security Solutions, une autre société de courtage d’exploits et de cybersécurité offensive opérant aux Émirats arabes unis et en Ouzbékistan. 

Le département d’État précise dans un communiqué dédié que Zelenyuk avait lui aussi créé une société basée aux Émirats arabes unis, Special Technology Services LLC FZ (STS), afin de mener des activités commerciales avec divers pays d’Asie et du Moyen-Orient, tout en contournant les sanctions américaines imposées aux comptes bancaires russes.

Signe d’un business florissant, TechCrunch rappelle que lors de son lancement, l’an passé, Advance Security Solutions proposait lui aussi jusqu’à 20 millions de dollars de primes pour des failles 0days capables d’infecter un smartphone au moyen d’un message textuel.

C’est par ailleurs la première fois, souligne le département d’État, que le gouvernement sanctionne un individu et des entités en vertu de la loi sur la protection de la propriété intellectuelle américaine (Protecting American Intellectual Property Act, ou PAIPA).

Cette loi autorise les sanctions à l’encontre de toute personne ayant sciemment participé à un vol important de secrets commerciaux appartenant à des ressortissants américains ou en ayant tiré profit, « si le vol de ces secrets commerciaux est raisonnablement susceptible d’entraîner ou a contribué de manière significative à une menace importante pour la sécurité nationale, la politique étrangère, la santé économique ou la stabilité financière des États-Unis ».