Un développeur vole 300 000 dollars à son employeur en s'inspirant d'un film des années 90

À peine croyable — Un ingénieur informatique américain est actuellement jugé dans l'état de Washington pour avoir escroqué son employeur, un site de e-commerce, en lui volant la somme de 300 000 dollars.

Aussi surprenant que cela puisse paraître, le développeur a avoué s'être inspiré... du scénario d'un film !



Le film en question, "35 heures, c'est déjà trop" (Office Space en anglais), une comédie sortie en 1999, dresse une satire (pas si datée) du monde de l'entreprise et de ses absurdités.

Les personnages principaux, fatigués de leurs managers stupides, de leurs tâches vides de sens, et sur le point de perdre leur job dans le cadre d'un licenciement collectif, décident avec l'aide d'un développeur d'intégrer un virus informatique dans le système de comptabilité de l'entreprise afin de prélever et réinjecter dans leurs comptes bancaires quelques fractions indétectables de toutes les transactions qui y sont effectuées.

Néanmoins, à cause d'une virgule mal placée dans le code (forcément), ils se rendent compte dès le lendemain qu'ils ont volé beaucoup plus d'argent que prévu. Alors qu'ils retournent au bureau pour couvrir leurs traces, ils découvrent qu'un autre employé a brûlé le bâtiment.

Le développeur de 28 ans mis en cause dans cette affaire, Ermenildo Valdez Castro, est ainsi accusé d'avoir édité le code du système de paiement de son employeur Zulily afin de rediriger une partie des frais de livraison vers son compte bancaire personnel.

Selon le rapport de police, Castro aurait commencé à modifier le code source du système de paiement de Zulily en février 2022, ce qui lui aurait permis de détourner pas moins de 260 000 dollars vers son propre compte Stripe (service de gestion de paiement en ligne), allant dans certains cas jusqu'à facturer doublement les frais de livraison aux clients du site.

En complément de ce premier hack, l'ingénieur a également réduit le prix des produits les plus onéreux du site à seulement quelques centimes afin de les acheter lui-même. Un préjudice estimé à 40 000 dollars pour plus de 1000 produits que l'ingénieur n'aurait payés que 250 dollars.



La police a retrouvé chez lui une grande partie de ces produits, la plupart encore emballés, l'un d'entre eux étant un canapé-lit de 560 dollars que Castro n'avait alors payé qu'un dollar.

Au total, le développeur a détourné 300 000 dollars, soit exactement la même somme que celle qui a été volée à la société fictive Initech du film "35 heures, c'est déjà trop" !

Encore plus osé : l'ingénieur a littéralement appelé son script "OfficeSpace Project" (le nom du film en anglais), le fichier ayant été découvert sur son poste de travail.

Dans son code, Castro prenait soin de s'assurer d'exclure les transactions en provenance d'une adresse IP associée à Zulily, et prévoyait en commentaire de cacher ses traces en mettant à jour certains logs d'audit et d'alerte.

L'argent prélevé via les transactions sur les frais de port aurait quant à lui complètement disparu, immédiatement réinvesti en actions, notamment chez GameStop — une entreprise spécialisée dans la distribution de jeux vidéo et de matériel électronique.

Embauché chez Zulily en 2018, Castro a été licencié en juin 2022 après que la société ait commencé à mener des investigations sur ses agissements. Le développeur sera jugé pour deux chefs d'accusation de vol ainsi qu'un chef d'accusation d'usurpation d'identité le 26 janvier prochain.

À lire aussi sur Les Joies du Code :

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.