Alors que la cybercriminalité augmente et que de plus en plus de pirates informatiques se déplacent dans le système judiciaire, les personnes libérées de prison disent avoir du mal à décrocher un emploi.
Les pirates qui vont en prison aux États-Unis et dans de nombreux pays européens peuvent être confrontés à des restrictions sur leur utilisation des ordinateurs et leur capacité à accéder à Internet une fois libérés, qui peuvent durer plusieurs années. Il est souvent interdit à la personne d’utiliser des applications Web ou des technologies susceptibles de masquer le comportement en ligne, telles que les réseaux privés virtuels, et ses appareils doivent être enregistrés auprès des autorités.
“Les limitations sont raisonnables, mais elles peuvent introduire des complications par rapport à ce à quoi nous nous attendons dans le processus de réhabilitation et de réinsertion”, a déclaré Thomas Holt, professeur à la School of Criminal Justice de la Michigan State University.
Après que Tommy DeVoss ait été surpris en train de pirater des centaines de systèmes gouvernementaux d’entreprise, militaires, étatiques et fédéraux en 2000, il a passé les 10 années suivantes soit interdit d’utiliser des ordinateurs, soit en prison. Il a été renvoyé deux fois pour avoir enfreint les dispositions de la liberté surveillée, notamment pour avoir utilisé un ordinateur.
“Se faire dire que vous ne pouvez pas faire quelque chose qui est à peu près le high le plus joyeux que vous obtenez, c’est assez percutant”, a déclaré M. DeVoss, maintenant âgé de 38 ans et vivant près de Richmond, en Virginie.
Après sa peine de prison, il a postulé pour des emplois technologiques pendant plusieurs années sans succès, travaillant dans la construction et la restauration jusqu’à décrocher un emploi technologique en 2013.
Tommy DeVoss, qui a purgé une peine de prison pour avoir piraté des sites Web du gouvernement fédéral, travaille maintenant pour la société de logiciels Braze et fait de la chasse aux bogues via HackerOne.
Photo:
HACKERONE INC.
Aujourd’hui, M. DeVoss, qui se qualifie de “chapeau noir réformé”, travaille dans le domaine de la cybersécurité pour la société de logiciels Braze Inc.,
et recherche des bogues dans les logiciels et autres vulnérabilités en tant que chasseur de primes de bogues pour HackerOne Inc., une entreprise qui aide les entreprises à travailler avec des chercheurs en sécurité.
Alex Rice, co-fondateur et directeur de la technologie de HackerOne, a déclaré que n’importe qui peut participer à ses programmes publics s’il respecte certaines règles et un code de conduite qui interdit le chantage, la divulgation non autorisée de données personnelles et l’usurpation d’identité.
Le directeur technique de Braze, Jon Hyman, a déclaré que la société n’embauchait pas de personnes reconnues coupables d’infractions violentes ou de crimes tels que le détournement de fonds ou la fraude. La condamnation de M. DeVoss n’est pas “importante pour son rôle” chez Braze, a-t-il dit.
L’industrie cybernétique s’attend à faire face à davantage de situations qui obligent les dirigeants à décider s’ils embaucheraient des pirates informatiques condamnés. Le Federal Bureau of Investigation a reçu 847 376 signalements de cyberattaques l’année dernière, en hausse de 7 % par rapport à 2020.
De nombreux pirates ont le bon type de compétences techniques et de pensée critique nécessaires chez un cyberprofessionnel. Dans quelques pays, comme la Belgique et les Pays-Bas, les restrictions technologiques sur les pirates informatiques libérés sont rares, a déclaré Catherine Van de Heyning, procureur belge et professeur de droit à l’Université d’Anvers. De nombreux juges rejettent ces demandes des procureurs, affirmant que des limitations nuiraient à la capacité de l’individu à travailler et à réintégrer la société, a-t-elle déclaré.
Une étape vers l’entrée dans la main-d’œuvre de l’entreprise pour un pirate informatique condamné consiste à obtenir un certificat d’une cyber-organisation respectée. Mais ce n’est pas un chemin que beaucoup empruntent. Le Consortium international de certification de la sécurité des systèmes d’information, un organisme de formation clé, a reçu moins de 10 candidatures au cours de la dernière décennie de la part de personnes accusées ou condamnées pour cybercriminalité, a déclaré Clar Rosso, directeur général du consortium.
Les individus passent par des vérifications d’éthique et d’antécédents avant d’être certifiés par (ISC) 2, dont le code d’éthique exige que les candidats “agissent de manière honorable, honnête, juste, responsable et légale”.
“Il serait très peu probable que nous leur permettions de détenir notre certification en raison du lien étroit qui existe avec la violation de nos canons éthiques”, a déclaré Mme Rosso à propos des pirates informatiques condamnés.
Pourtant, a déclaré l’avocat général de (ISC) 2, Graham Jackson, certains de ces candidats ont été acceptés, mais il a refusé de donner plus de détails.
Au Royaume-Uni, Daniel Kelley a été libéré l’année dernière de la prison de haute sécurité de Sa Majesté Belmarsh en Angleterre après avoir purgé la moitié d’une peine de quatre ans pour avoir piraté plusieurs entreprises, dont le britannique TalkTalk Telecom Group PLC en 2015, alors qu’il avait 18 ans. TalkTalk a déclaré que l’attaque lui avait coûté 42 millions de livres sterling, soit 48 millions de dollars, immédiatement après, et que les données personnelles d’environ 156 000 clients avaient été exposées. M. Kelley a dit qu’il ne gagnait pas d’argent en piratant TalkTalk.
En probation jusqu’en 2023, M. Kelley doit se conformer aux restrictions technologiques pendant encore trois ans après cela. Ils incluent l’obligation d’enregistrer ses appareils auprès des autorités de probation et les limites de son accès aux applications et aux services en ligne, tels que les réseaux privés virtuels, dont de nombreuses entreprises ont besoin pour le travail à distance. Tous les quelques mois, les autorités collectent les appareils de M. Kelley sans préavis pour inspecter et copier leurs données, a-t-il déclaré.
“Le juge doit prendre une décision équilibrée quant à ce qui pourrait être restreint pour l’individu et ce qui pourrait protéger le public.”
“Il y a un niveau de paranoïa tout le temps”, a déclaré M. Kelley, qui a maintenant 25 ans et vit à Llanelli, dans le sud du Pays de Galles. TalkTalk a refusé de commenter.
Lorsqu’il a demandé à être certifié par (ISC)2 l’année dernière, il a été informé qu’en raison de sa condamnation pénale, un comité d’éthique déciderait s’il pouvait passer l’examen, être banni à vie de ses certifications ou demander une certification plus tard, selon à un e-mail de l’organisation consulté par le Wall Street Journal.
M. Kelley a déclaré qu’il ne pouvait pas se permettre d’engager un avocat pour envoyer des copies de ses documents de cas, ce que (ISC)2 a demandé. « Si je pouvais obtenir une certification aujourd’hui, cela signifierait au moins que dans quelques années, j’aurais toujours une certification pertinente dans mon domaine. Je serais toujours précieux », a-t-il déclaré.
Les ordonnances post-libération pour tout type de crime visent à empêcher les gens de récidiver, et dans les affaires de cybercriminalité, elles incluent naturellement des restrictions technologiques, a déclaré Alison Abbott, chef de l’unité de gestion à vie de la National Crime Agency du Royaume-Uni, qui gère les commandes.
“Le juge doit prendre cette décision équilibrée quant à ce qui pourrait être restreint pour l’individu et ce qui pourrait protéger le public”, a-t-elle déclaré.
M. Kelley s’est dit frustré de voir l’intérêt des employeurs s’estomper une fois qu’ils ont entendu la liste des technologies qu’il ne peut pas utiliser, même s’ils ont d’abord semblé prêts à lui donner une chance malgré sa condamnation pour piratage.
“Je veux toujours un emploi dans la cybersécurité”, a déclaré M. Kelley. “Plus ça dure, moins ça a l’air réaliste.”
Écrire à Catherine Stupp à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
