Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Valeo porte plainte contre NVIDIA pour vol de code source et secret industriel

Valeo porte plainte contre NVIDIA pour vol de code source et secret industriel

Unsplash+

Le 27 novembre 2023 à 06h55

L'équipementier automobile français Valeo a porté plainte début novembre au tribunal de San Jose en Californie contre NVIDIA, relève L'usine digitale.

L'affaire remonte à mars 2022, rapporte l’agence Bloomberg, et plus particulièrement à une visioconférence entre des employés des deux entreprises, collaborant avec un fabricant de pièces automobiles sur un projet d'assistance au stationnement et à la conduite.

Mohammad Moniruzzaman, un ancien ingénieur de Valeo passé quelque mois plus tôt chez NVIDIA, y avait partagé son écran, sur lequel apparaissait du code informatique appartenant à Valeo.

Une perquisition à son domicile révéla qu'il était bien parti de Valeo avec plusieurs documents confidentiels, « dont certains accrochés au mur », souligne L'usine digitale :

« Selon Valeo, Mohammad Moniruzzaman aurait copié des dizaines de milliers de documents et 6 Go de code informatique peu avant de quitter l’entreprise pour rejoindre NVIDIA. En septembre, il a été condamné par la justice allemande à verser une amende 14.400 euros. »

Pour sa défense, NVIDIA avance dans un courrier adressé aux avocats de Valeo en juin 2022 n’avoir « aucun intérêt dans le code de Valeo ou ses prétendus secrets commerciaux et a pris des mesures concrètes immédiates pour protéger les droits affirmés de  [leur ] client ».

Le 27 novembre 2023 à 06h55

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
« Selon Valeo, Mohammad Moniruzzaman aurait copié des dizaines de milliers de documents et 6 Go de code informatique peu avant de quitter l’entreprise pour rejoindre NVIDIA. En septembre, il a été condamné par la justice allemande à verser une amende 14.400 euros. »
Outch.

La sécurisation de la donnée reste un sujet complexe en entreprise, même si un SOC peut aider ce n'est pas absolu (et peut revenir cher).
votre avatar
En même temps, je vois pas ce qui pourrait techniquement m'empêcher de copier le code source sur lequel je travaille.

Et comment ça un SOC dans ce contexte (pas sûr d'avoir la même signification que toi) ?
votre avatar
J'ai bossé dans un service de R&D où:
1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.
2. l'envoi de pièce-jointe était bloqué: il fallait passer par un espace de partage.

Note: SOC = Security operations center
votre avatar
Avec du GIT et SVN ? C'est chaud de chiffrer les pull quand même. Et une fois sur ton PC c'est déchiffré, qu'est-ce qui t'empêche de copier sur clé USB ou autre moyen ?

Edit: mal lu: c'était la copie vers clé USB qui était chiffrée :)
votre avatar
C'est assez simple de bloquer l'accès aux clés usb.
votre avatar
1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.
Par hasard, sais-tu comment cela était mis en place ? C'est une question que j'ai sur ma TO DO list mais que je n'ai pas encore eu le temps de traiter ^^

Merci d'avance :chinois:
votre avatar
Pire. Chez SwissLife, toute clé usb branchée est chiffrée, même si la clé n’est pas de l’entreprise. Du coup, si c’est ta clé perso, tu perds accès au contenu. Un collègue a eu le problème en prêtant sa clé au conseiller. Et le support ne peut / veut pas aider ensuite.

Pour la copie réseau, même problématique. Mais faut avoir les outils et définir des seuils de détection.

Tout a un coût.
votre avatar
Ah oui si ça te préviens pas c'est moche, je dirai même merdique. J'ai déjà eu le cas chez Unilever, mais ça te demandais ce que tu voulais faire, comme expliqué par 127.0.0.1, sauf que de mémoire il y avait pas de read-only : c'était soit la clé est pas chiffrée et tu formaté + chiffrement, ou la clé est déjà chiffrée et ça l'a monte directement.
votre avatar
En même temps, on ne branche aucun support/accessoire personnel sur un système d'information pro. Simple, basique. ;-)
votre avatar
Dans le même style, tout appareil non enregistré auprès du SI branché sur port USB déclenche une alarme et la force locale de sécurité débarque. Quand tu es prestataire, tu es gentiment accompagné vers la sortie et tu redonnes ton badge définitivement
votre avatar
Dell Data Protection External Media Edition

En gros, quand tu mets une clé usb, t'as le choix entre
1. monter en read-only
2. formater + chiffrer + monter en read-write
3. monter en read-write (si c'est déjà chiffré)
votre avatar
Top. Merci pour ta réponse. :inpactitude:
votre avatar
En fait, une détection réseau ne t'empêche pas de copier. Par contre, la quantité anormale de données téléchargées auraient dû faire tilt sur un outil, surtout pour une boite comme Valéo. Et l'équipe de surveillance réseau aurait simplement demandé des comptes.
votre avatar
Si 6Go c'est une quantité anormale, avec ce genre d'outils dans mon ancienne boîte ça aurait tilté au moins une fois par jour (récupération de backups de BDD, setups de logiciels, images VM, récupération de 2 ans d'archivage client avant intervention sur site...).
Bref comme souvent c'est sécurité vs confort.
votre avatar
Le contrat de travail interdit cela, et tout code est propriété de la COGIP
votre avatar
Est-ce que le fait d'avoir ou pas une moustache joue ?
votre avatar
a la photocopieuse c'est la classe, et Josianne est folle des moustaches <3
Ne pas oublier la cravate :o


Pour ceux qui n'ont pas la ref : Message à caractère informatif
votre avatar
Chez mon ancien employeur les copies sur clés USB étaient systématiquement chiffrées. Sans poste de l'entreprise, impossible de les déchiffrer.

Quant au SOC, il peut définir des alertes à la lecture des logs d'audit du repo de code disant si, par exemple, un profil s'est mis à cloner plusieurs fois un repository en peu de temps, ou beaucoup de repositories, par rapport à une moyenne usuelle. Cela fait partie des méthodes d'alerte identifier pour les potentiels risques de fuite de données.
votre avatar
D'autres sources indiquent que Nvidia a tout de même récupéré ledit code, pour le retravailler selon leurs propres besoins. Et qu'en l'état ils sont incapables de le retirer de leur système, d'où la plainte de Valeo contre Nvidia.
votre avatar
Tout en sachant que Valéo, boite européenne, pourrait être déboutée car s'attaquant à une boite US sur sol US (protectionnisme, tout ça).
votre avatar
14400€, seulement ?
votre avatar
C'est ce que je me suis dit aussi...
c'est le coût d'un mois de dev en presta, autant dire que c'est super rentable pour l'entreprise qui récupère le code.
votre avatar
C'est l'ingénieur qui est condamné à l'amende (pour quel motif, je n'ai pas bien compris par contre…).

Valeo porte plainte contre NVIDIA pour vol de code source et secret industriel

Fermer