Selon une étude Eulerhermes, une fraude sur cinq qui touche une entreprise est le fait d'un employé. Un chiffre qu'aurait bien fait de méditer Microsoft au regard de la vaste arnaque dont il a récemment été victime, et racontée par Bloomberg dans un très long article.
En 2017, Volodymyr Kvashuk, un jeune ingénieur d'origine ukrainienne, est embauché au siège du géant de l'informatique à Redmond, dans l'État de Washington, où il est chargé de tester la sécurité de l'infrastructure de commerce électronique de l'entreprise. Pour ce faire, il simule des achats sur la plateforme à l'aide d'une fausse carte de crédit fournie par Microsoft.
Évidemment, ces achats ne sont normalement jamais effectivement passés. Sauf que Volodymyr Kvashuk ne tarde pas à découvrir une énorme faille dans le système: le système exclut du champ des tests les biens non physiques, comme les cartes cadeaux Xbox.
Lors de leur achat en ligne, Microsoft fournit un code de vingt-cinq caractères unique, qui peut être imprimé ou envoyé par courriel. Si théoriquement ces codes ne sont utilisables que pour acheter des services Xbox (jeux, application, séries, films ou accessoires), ils s'échangent allègrement sur internet, constituant une sorte de «monnaie numérique» que l'on peut revendre contre du cash.
Arnaque industrialisée
Volodymyr Kvashuk s'aperçoit qu'il peut générer des codes de façon quasi illimitée avec son faux compte, le tout gratuitement. L'occasion est trop belle. Au départ, il commence à créer des codes Xbox de faible montant, entre 10 et 100 dollars, mais il prend rapidement goût au jeu, et l'arnaque va vite s'emballer.
L'ingénieur va même jusqu'à créer un programme informatique pour automatiser la tâche, et lors de son arrestation, deux ans plus tard, ce sont 152.000 cartes cadeaux d'une valeur de 10,1 millions de dollars qui ont été générées.
Il revend alors ses codes sur internet avec une remise de 55%; ce qui ne tarde pas à créer un véritable marché parallèle de la carte Xbox. «À un moment donné, Kvashuk émettait tellement de codes qu'il faisait à lui seul monter ou descendre le prix des cartes cadeaux Xbox sur les marchés revendeurs, témoignent les procureurs aujourd'hui en charge de l'affaire. Lorsque les prix tombaient trop bas, il arrêtait de fabriquer des codes en attendant que le marché remonte.»
Kvashuk, arrivé sans le sou aux États-Unis en 2015, mène alors la belle vie. Il s'achète une villa à plusieurs millions de dollars au bord d'un lac et une Tesla Model S rouge rutilante.
Au bout d'un moment, pourtant, la hausse inexplicable des achats en ligne utilisant des codes de cartes cadeaux attire l'attention de Microsoft. L'entreprise se rend compte qu'une vaste fraude est en cours, et qu'elle provient probablement de l'intérieur.
Elle fait appel à un détective vétéran de Scotland Yard qui ne tarde pas à se concentrer sur cet ingénieur, dont le compte fictif a gardé la trace des premières transactions.
Bien qu'étant un ingénieur chevronné, Kvashuk a commis de grossières erreurs comme l'utilisation du même ordinateur Linux pour tous ses vols, qui sont donc facilement traçables. L'un de ses premiers achats (une licence Microsoft Office) était même enregistré au nom de sa start-up personnelle.
Ses avocats plaident désormais la bonne foi, arguant que l'ingénieur n'avait aucunement l'intention de frauder l'entreprise. Selon eux, Kvashuk aidait en réalité Microsoft car «plus Xbox donne de cadeaux, plus cela la rend populaire et encourage les achats». Une ligne de défense aussi énorme que son arnaque.
