Une entrepreneuse vient d’être condamnée à 22 mois de prison pour un trafic de certificats d’authenticité Microsoft. Derrière ces simples autocollants se cachait un commerce mondial de clés logicielles.
La justice fédérale américaine a condamné Heidi Richards, entrepreneuse de Floride, à 22 mois de prison pour trafic d’étiquettes de certificat d’authenticité Microsoft. Entre 2018 et 2023, elle a acheté des dizaines de milliers d’étiquettes COA authentiques à prix réduit, puis a extrait les clés d’activation afin de les revendre en gros à l’international. Cette pratique exploite un marché parallèle bien connu dans la cybersécurité, où les licences logicielles sont dissociées du matériel auquel elles sont censées être liées. L’affaire illustre les enjeux économiques et judiciaires autour de la distribution illégale de licences Microsoft et du contrôle des chaînes de distribution numériques.
Un marché parallèle autour des certificats Microsoft
À Tampa, en Floride, la justice fédérale vient de sanctionner une activité située à la frontière entre piratage logiciel et détournement de licences. Heidi Richards, 52 ans, originaire de Brandon, a écopé de 22 mois de prison fédérale. Le tribunal lui impose également une amende de 50 000 $ (46 080 euros).
Selon le bureau du procureur fédéral, la dirigeante exploitait une société de commerce en ligne baptisée Trinity Software Distribution. L’enquête révèle un système organisé autour des certificats d’authenticité Microsoft, appelés COA pour Certificate of Authenticity.
Ces étiquettes, généralement collées sur un ordinateur neuf, attestent qu’une copie du logiciel est légitime. Elles sont associées à des produits comme Windows 10 ou Microsoft Office. Chaque autocollant contient une clé d’activation unique permettant d’utiliser légalement le programme.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Pour empêcher la contrefaçon, Microsoft intègre divers dispositifs de sécurité dans ces certificats. Leur vente isolée est toutefois interdite par la loi fédérale américaine. Les COA doivent obligatoirement accompagner la licence logicielle et le matériel correspondant.
Entre juillet 2018 et janvier 2023, Heidi Richards s’est procuré des dizaines de milliers de ces étiquettes auprès d’un fournisseur basé au Texas. Les documents judiciaires indiquent qu’elle a versé plus de 5,1 millions $ (4,70 millions d’euros) à ce partenaire.
Les prix payés étaient nettement inférieurs à ceux des logiciels auxquels ces certificats étaient associés. Cette différence de valeur constituait le cœur du modèle économique.
Le fonctionnement du système reposait sur une opération simple. Les employés de Trinity Software Distribution récupéraient les certificats puis en extrayaient manuellement les clés d’activation.
Chaque code produit était ensuite enregistré dans des tableurs internes. Ces bases de données servaient à organiser la revente des licences.
Les clés étaient ensuite vendues en gros à des clients situés dans plusieurs pays. Ce commerce exploitait un marché secondaire bien connu dans l’écosystème logiciel. Les certificats COA contiennent une information précieuse : la clé d’activation permettant de débloquer le logiciel Microsoft.
Une fois cette clé isolée, le reste du certificat perd toute utilité. Juridiquement, la valeur commerciale du COA n’existe qu’avec le logiciel et le matériel auxquels il est lié.
Selon l’accusation, le système mis en place permettait de contourner ce principe. En séparant la clé d’activation de son support original, l’entreprise alimentait un réseau de distribution parallèle de licences.
Le jury a finalement reconnu Heidi Richards coupable de complot visant à organiser ce trafic d’étiquettes COA.
L’affaire rappelle que la circulation de simples clés logicielles peut constituer une cible prioritaire pour les services spécialisés en cyber-renseignement économique.
