Un homme devant plusieurs écrans avec du code informatiqueUnsplash+

Valeo porte plainte contre NVIDIA pour vol de code source et secret industriel

Par Sébastien Gavois

Le 27 Novembre 2023 à 06h55
Droit
2 min 23

Un homme devant plusieurs écrans avec du code informatiqueUnsplash+

L'équipementier automobile français Valeo a porté plainte début novembre au tribunal de San Jose en Californie contre NVIDIA, relève L'usine digitale.

L'affaire remonte à mars 2022, rapporte l’agence Bloomberg, et plus particulièrement à une visioconférence entre des employés des deux entreprises, collaborant avec un fabricant de pièces automobiles sur un projet d'assistance au stationnement et à la conduite.

Mohammad Moniruzzaman, un ancien ingénieur de Valeo passé quelque mois plus tôt chez NVIDIA, y avait partagé son écran, sur lequel apparaissait du code informatique appartenant à Valeo.

Une perquisition à son domicile révéla qu'il était bien parti de Valeo avec plusieurs documents confidentiels, « dont certains accrochés au mur », souligne L'usine digitale :

« Selon Valeo, Mohammad Moniruzzaman aurait copié des dizaines de milliers de documents et 6 Go de code informatique peu avant de quitter l’entreprise pour rejoindre NVIDIA. En septembre, il a été condamné par la justice allemande à verser une amende 14.400 euros. »

Pour sa défense, NVIDIA avance dans un courrier adressé aux avocats de Valeo en juin 2022 n’avoir « aucun intérêt dans le code de Valeo ou ses prétendus secrets commerciaux et a pris des mesures concrètes immédiates pour protéger les droits affirmés de  [leur ] client ».

Commentaires (23)


SebGF Abonné
Le 27/11/2023 à 07h16
« Selon Valeo, Mohammad Moniruzzaman aurait copié des dizaines de milliers de documents et 6 Go de code informatique peu avant de quitter l’entreprise pour rejoindre NVIDIA. En septembre, il a été condamné par la justice allemande à verser une amende 14.400 euros. »


Outch.

La sécurisation de la donnée reste un sujet complexe en entreprise, même si un SOC peut aider ce n'est pas absolu (et peut revenir cher).
Inodemus Abonné
Le 27/11/2023 à 08h17
En même temps, je vois pas ce qui pourrait techniquement m'empêcher de copier le code source sur lequel je travaille.

Et comment ça un SOC dans ce contexte (pas sûr d'avoir la même signification que toi) ?
Modifié le 27/11/2023 à 08h18
127.0.0.1
Le 27/11/2023 à 08h58

Inodemus

En même temps, je vois pas ce qui pourrait techniquement m'empêcher de copier le code source sur lequel je travaille.

Et comment ça un SOC dans ce contexte (pas sûr d'avoir la même signification que toi) ?
J'ai bossé dans un service de R&D où:
1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.
2. l'envoi de pièce-jointe était bloqué: il fallait passer par un espace de partage.

Note: SOC = Security operations center
eglyn Abonné
Le 27/11/2023 à 10h18

127.0.0.1

J'ai bossé dans un service de R&D où:
1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.
2. l'envoi de pièce-jointe était bloqué: il fallait passer par un espace de partage.

Note: SOC = Security operations center
Avec du GIT et SVN ? C'est chaud de chiffrer les pull quand même. Et une fois sur ton PC c'est déchiffré, qu'est-ce qui t'empêche de copier sur clé USB ou autre moyen ?

Edit: mal lu: c'était la copie vers clé USB qui était chiffrée :)
Modifié le 27/11/2023 à 10h19
Hugues1337
Le 04/12/2023 à 20h39

eglyn

Avec du GIT et SVN ? C'est chaud de chiffrer les pull quand même. Et une fois sur ton PC c'est déchiffré, qu'est-ce qui t'empêche de copier sur clé USB ou autre moyen ?

Edit: mal lu: c'était la copie vers clé USB qui était chiffrée :)
C'est assez simple de bloquer l'accès aux clés usb.
fdorin Abonné
Le 27/11/2023 à 10h29

127.0.0.1

J'ai bossé dans un service de R&D où:
1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.
2. l'envoi de pièce-jointe était bloqué: il fallait passer par un espace de partage.

Note: SOC = Security operations center
1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.


Par hasard, sais-tu comment cela était mis en place ? C'est une question que j'ai sur ma TO DO list mais que je n'ai pas encore eu le temps de traiter ^^

Merci d'avance :chinois:
Modifié le 27/11/2023 à 10h29
nextdrOp Abonné
Le 27/11/2023 à 11h36

fdorin

1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.


Par hasard, sais-tu comment cela était mis en place ? C'est une question que j'ai sur ma TO DO list mais que je n'ai pas encore eu le temps de traiter ^^

Merci d'avance :chinois:
Pire. Chez SwissLife, toute clé usb branchée est chiffrée, même si la clé n’est pas de l’entreprise. Du coup, si c’est ta clé perso, tu perds accès au contenu. Un collègue a eu le problème en prêtant sa clé au conseiller. Et le support ne peut / veut pas aider ensuite.

Pour la copie réseau, même problématique. Mais faut avoir les outils et définir des seuils de détection.

Tout a un coût.
SKN Abonné
Le 27/11/2023 à 13h02

nextdrOp

Pire. Chez SwissLife, toute clé usb branchée est chiffrée, même si la clé n’est pas de l’entreprise. Du coup, si c’est ta clé perso, tu perds accès au contenu. Un collègue a eu le problème en prêtant sa clé au conseiller. Et le support ne peut / veut pas aider ensuite.

Pour la copie réseau, même problématique. Mais faut avoir les outils et définir des seuils de détection.

Tout a un coût.
Ah oui si ça te préviens pas c'est moche, je dirai même merdique. J'ai déjà eu le cas chez Unilever, mais ça te demandais ce que tu voulais faire, comme expliqué par 127.0.0.1, sauf que de mémoire il y avait pas de read-only : c'était soit la clé est pas chiffrée et tu formaté + chiffrement, ou la clé est déjà chiffrée et ça l'a monte directement.
Thorgalix_21 Abonné
Le 27/11/2023 à 15h02

SKN

Ah oui si ça te préviens pas c'est moche, je dirai même merdique. J'ai déjà eu le cas chez Unilever, mais ça te demandais ce que tu voulais faire, comme expliqué par 127.0.0.1, sauf que de mémoire il y avait pas de read-only : c'était soit la clé est pas chiffrée et tu formaté + chiffrement, ou la clé est déjà chiffrée et ça l'a monte directement.
En même temps, on ne branche aucun support/accessoire personnel sur un système d'information pro. Simple, basique. ;-)
Ferrex Abonné
Le 27/11/2023 à 16h22

nextdrOp

Pire. Chez SwissLife, toute clé usb branchée est chiffrée, même si la clé n’est pas de l’entreprise. Du coup, si c’est ta clé perso, tu perds accès au contenu. Un collègue a eu le problème en prêtant sa clé au conseiller. Et le support ne peut / veut pas aider ensuite.

Pour la copie réseau, même problématique. Mais faut avoir les outils et définir des seuils de détection.

Tout a un coût.
Dans le même style, tout appareil non enregistré auprès du SI branché sur port USB déclenche une alarme et la force locale de sécurité débarque. Quand tu es prestataire, tu es gentiment accompagné vers la sortie et tu redonnes ton badge définitivement
127.0.0.1
Le 27/11/2023 à 11h38

fdorin

1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.


Par hasard, sais-tu comment cela était mis en place ? C'est une question que j'ai sur ma TO DO list mais que je n'ai pas encore eu le temps de traiter ^^

Merci d'avance :chinois:
Dell Data Protection External Media Edition

En gros, quand tu mets une clé usb, t'as le choix entre
1. monter en read-only
2. formater + chiffrer + monter en read-write
3. monter en read-write (si c'est déjà chiffré)
Modifié le 27/11/2023 à 11h39
fdorin Abonné
Le 27/11/2023 à 13h17

127.0.0.1

Dell Data Protection External Media Edition

En gros, quand tu mets une clé usb, t'as le choix entre
1. monter en read-only
2. formater + chiffrer + monter en read-write
3. monter en read-write (si c'est déjà chiffré)
Top. Merci pour ta réponse. :inpactitude:
Modifié le 27/11/2023 à 13h17
patos Abonné
Le 27/11/2023 à 11h16

Inodemus

En même temps, je vois pas ce qui pourrait techniquement m'empêcher de copier le code source sur lequel je travaille.

Et comment ça un SOC dans ce contexte (pas sûr d'avoir la même signification que toi) ?
En fait, une détection réseau ne t'empêche pas de copier. Par contre, la quantité anormale de données téléchargées auraient dû faire tilt sur un outil, surtout pour une boite comme Valéo. Et l'équipe de surveillance réseau aurait simplement demandé des comptes.
SKN Abonné
Le 27/11/2023 à 13h06

patos

En fait, une détection réseau ne t'empêche pas de copier. Par contre, la quantité anormale de données téléchargées auraient dû faire tilt sur un outil, surtout pour une boite comme Valéo. Et l'équipe de surveillance réseau aurait simplement demandé des comptes.
Si 6Go c'est une quantité anormale, avec ce genre d'outils dans mon ancienne boîte ça aurait tilté au moins une fois par jour (récupération de backups de BDD, setups de logiciels, images VM, récupération de 2 ans d'archivage client avant intervention sur site...).
Bref comme souvent c'est sécurité vs confort.
Jungledede Abonné
Le 27/11/2023 à 13h46

Inodemus

En même temps, je vois pas ce qui pourrait techniquement m'empêcher de copier le code source sur lequel je travaille.

Et comment ça un SOC dans ce contexte (pas sûr d'avoir la même signification que toi) ?
Le contrat de travail interdit cela, et tout code est propriété de la COGIP
Thorgalix_21 Abonné
Le 27/11/2023 à 15h03

Jungledede

Le contrat de travail interdit cela, et tout code est propriété de la COGIP
Est-ce que le fait d'avoir ou pas une moustache joue ?
Jungledede Abonné
Le 29/11/2023 à 10h03

Thorgalix_21

Est-ce que le fait d'avoir ou pas une moustache joue ?
a la photocopieuse c'est la classe, et Josianne est folle des moustaches <3
Ne pas oublier la cravate :o


Pour ceux qui n'ont pas la ref : Message à caractère informatif
Modifié le 29/11/2023 à 10h04
SebGF Abonné
Le 27/11/2023 à 18h15

Inodemus

En même temps, je vois pas ce qui pourrait techniquement m'empêcher de copier le code source sur lequel je travaille.

Et comment ça un SOC dans ce contexte (pas sûr d'avoir la même signification que toi) ?
Chez mon ancien employeur les copies sur clés USB étaient systématiquement chiffrées. Sans poste de l'entreprise, impossible de les déchiffrer.

Quant au SOC, il peut définir des alertes à la lecture des logs d'audit du repo de code disant si, par exemple, un profil s'est mis à cloner plusieurs fois un repository en peu de temps, ou beaucoup de repositories, par rapport à une moyenne usuelle. Cela fait partie des méthodes d'alerte identifier pour les potentiels risques de fuite de données.
Modifié le 27/11/2023 à 18h16
Furanku Abonné
Le 27/11/2023 à 09h27
D'autres sources indiquent que Nvidia a tout de même récupéré ledit code, pour le retravailler selon leurs propres besoins. Et qu'en l'état ils sont incapables de le retirer de leur système, d'où la plainte de Valeo contre Nvidia.
Gilbert_Gosseyn Abonné
Le 27/11/2023 à 10h34
Tout en sachant que Valéo, boite européenne, pourrait être déboutée car s'attaquant à une boite US sur sol US (protectionnisme, tout ça).
vince120 Abonné
Le 27/11/2023 à 14h20
14400€, seulement ?
yvan Abonné
Le 27/11/2023 à 16h30
C'est ce que je me suis dit aussi...
c'est le coût d'un mois de dev en presta, autant dire que c'est super rentable pour l'entreprise qui récupère le code.
Mihashi Abonné
Le 28/11/2023 à 19h00
C'est l'ingénieur qui est condamné à l'amende (pour quel motif, je n'ai pas bien compris par contre…).
Fermer