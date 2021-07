Ingénieur ripou : Les cartes-cadeaux de la Xbox lui rapportaient gros

Profitant d’une grosse faille dans la procédure de test, un ex-ingénieur de Microsoft a mené la belle vie avant d’être rattrapé par la justice.

L’ingénieur d’origine ukrainienne avait mis en place un stratagème bien rodé montage/us district court of western district of washington at seattle

À peine engagé chez Microsoft, Volodymyr Kvashuk a découvert un bug qui a changé sa vie, pour le meilleur et puis pour le pire, une peine de prison de 9 ans qu’il encourt. L’ingénieur a pu générer des codes de carte-cadeau Xbox pratiquement illimités, le tout gratuitement, raconte l’agence Bloomberg. Il a profité d’une faille dans la procédure de test des achats qui lui renvoyait de vrais codes. Il a commencé «petit» en s’octroyant un code d’une valeur de 15 dollars quelques semaines avant Noël, en 2017, parmi un lot de 20 autres d’une valeur totale de 300 dollars.

Mais l’ingénieur a vite été rattrapé par l’appât du gain. En janvier 2018, Kvashuk a créé un programme informatique pour automatiser le processus. En quelques clics dans l’application, il pouvait sélectionner une dénomination de carte-cadeau (30, 75, 100), la devise de sortie (dollars américains, euros, livres sterling) et le nombre d’achats souhaité.

Blanchi via le bitcoin

Kvashuk opérait sous le nom de Grizzled Wolf sur Paxful.com, une place de marché leader pour l’échange de cartes-cadeaux contre de la cryptomonnaie, généralement le bitcoin. L’un de ses deux gros revendeurs, Makoo, aurait par exemple commandé 300 cartes Xbox à Grizzled Wolf, d’une valeur de près de 28 000 dollars. À l’époque, Paxful n’exigeait pas d’identifiants gouvernementaux vérifiables, permettant aux utilisateurs de rester anonymes.

Au moment où les agents fédéraux ont rattrapé Kvashuk en 2019, il avait exploité plus de 152 000 cartes-cadeaux Xbox, soit d’un montant quelque 10 millions de dollars. À un moment donné, son entreprise avait pris une telle ampleur qu’il pouvait influencer le cours du prix des cartes-cadeaux Xbox sur les marchés des revendeurs. Lorsque les prix tombaient trop bas à son goût, il suspendait son approvisionnement en espérant faire rebondir le marché. Mais Kvashuk a fini connaître des problèmes inexpliqués avec son approvisionnement, en raison de certains codes ne fonctionnant plus lorsque les acheteurs tentaient de les échanger en ligne. Cela avait fini par rendre Kvashuk stressé. Ses recherches sur le web suggèrent qu’il tentait d’arrêter de boire de l’alcool et cherchait à obtenir un visa canadien.

Enquêteur interne

Microsoft a mis du temps à découvrir la supercherie. En février 2018, son service interne antifraude avait pourtant déjà constaté une hausse inexplicable des achats en ligne à l’aide de codes de cartes-cadeaux, soit environ le double des niveaux d’échange normaux. Mais il avait penché sur l’hypothèse d’un «mauvais acteur externe». Plus tard, les enquêteurs de l’entreprise sont cependant tombés sur les traces d’une activité irrégulière émanant deux comptes de test internes attribués aux employés de l’équipe du magasin de Microsoft. Les enquêteurs ont interrogé les employés à l’origine de ces comptes tests, qui semblaient être des victimes abasourdies, et non des criminels, selon un rapport.

Enquête interne

C’est ensuite un vétéran de Scotland Yard travaillant pour la société, Andrew Cookson, qui a pu confondre Kvashuk. L’ingénieur a commis beaucoup d’erreurs de débutant. Bien qu’il ait masqué son utilisation d’Internet via des serveurs internationaux, par exemple, il a utilisé distraitement le même ordinateur basé sur Linux, avec la même version obsolète du navigateur Firefox, pour commettre le vol, des métadonnées qui ont permis à Microsoft de le connecter au crime.

Rêve américain gâché

Kvashuk avait un joli train de vie. Il avait acheté une Tesla Model S rouge pour 162 899 dollars, puis une maison moderne de 1,675 million de dollars avec ponteau pour bateaux sur le lac Washington. Il avait aussi coaché dans sa liste de souhaits, un chalet pour le ski à la montagne et un yacht. Microsoft l’avait recruté pour un poste d’ingénieur à temps plein, 116 000 par an. Diplômé en informatique, Kvashuk était arrivé d’Ukraine en 2015 pour assister au mariage de sa tante en Californie. Il s’était ensuite installé et avait rencontré sa petite amie, également originaire d’Ukraine. L’une des photos Facebook de Kvashuk le montrait sur sa moto Yamaha, une poupée Barbie attachée à la banquette arrière, les bras tendus vers le ciel.

Lourde condamnation

Devant les juges, Kvashuk a plaidé que les cartes-cadeaux n’étaient pas de l’argent «réel» et n’avaient rien coûté à Microsoft. Ses arguments n’ont guère convaincu le jury qui l’a reconnu coupable de tous les chefs d’accusation. Il est susceptible d’être expulsé en Ukraine après avoir purgé une peine de prison jusqu’en mars 2027 et devra restituer 8,3 millions de dollars.