В софте ФБР нашли тайно закупленный российский код

Софт Безопасность Стратегия безопасности ИТ в госсекторе
мобильная версия
, Текст: Валерия Шмырова

Бывшие сотрудники компании Morpho, французского разработчика биометрического софта, утверждают, что несколько лет назад их компания тайно закупила у российских коллег код и встроила его в свое решение для распознавания отпечатков пальцев. Год спустя это решение было продано ФБР, где им пользуются и сейчас.


Опасный софт ФБР

Программное обеспечение для анализа отпечатков пальцев, которое используется в Федеральном бюро расследований (ФБР) и более чем 18 тыс. различных американских ведомств и органов, содержит код, «созданный российской компанией, имеющей тесные связи с Кремлем». Об этом со ссылкой на два собственных источника и предоставленные ими документы сообщает ресурс BuzzFeed. Таким образом, российские хакеры в любой момент могут получить доступ к биометрической информации миллионов американцев или скомпрометировать информационные системы правоохранительных органов и органов национальной безопасности США, пишет издание.

ПО, которое ФБР использует для распознавания отпечатков пальцев, было представлено в 2011 г. Бюро сообщило, что в нем точность распознавания была выведена на новый уровень — с 92% до 99,6%. Это ПО стало частью более широкой инициативы под названием «Идентификация следующего поколения», которая должна была расширить применение биометрии в бюро. Это же ПО использует Агентство национальной безопасности (АНБ) США, в частности, его элитное киберподразделение Tailored Access Operations.

Откуда взялся код

Код российского происхождения был встроен в ПО для анализа отпечатков пальцев французским подрядчиком, сообщают источники. На момент создание кода эта фирма представляла собой дочернее предприятие крупного конгломерата Safran, базирующегося в Париже. Тогда предприятие называлось Sagem Sécurité, позднее было переименована в Morpho, затем выкуплено американскими структурами за $2,5 млрд и переименовано в Idemia. Сейчас эта компания предоставляет ПО для распознавания отпечатков пальцев государственным и муниципальным органам в 28 штатах и 36 городах и графствах США.

ФБР нечаянно закупило французский софт для анализа отпечатков пальцев с российским кодом

Российский код был внедрен в продукт Morpho с целью улучшения производительности. По словам источников, код был приобретен тайно, и компания намеренно скрыла этот факт от ФБР. Оба источника BuzzFeed работали в то время на Morpho: Филипп Десбуа (Philippe Desbois) возглавлял деятельность компании в России, а Жорж Хала (Georges Hala) был руководителем команды по развитию бизнеса Morpho там же. Интеграция российского кода положительно сказалась на положении Morpho на рынке США — когда ФБР запустило ПО в работу в конце 2013 г., третья часть выручки французской компании общим объемом $2 млрд уже имела американское происхождение.

Российский разработчик

В качестве того самого российского разработчика, который создал закупленный Morpho код, источники BuzzFeed указывают АО «Папилон», известное своими биометрическими решениями. Фирма неоднократно сообщала в своих публикациях о совместной работе с различными российскими министерствами, а также с Федеральной службой безопасности (ФСБ), отмечает издание. Хала настаивает, что «Папилон» не самостоятельна в своих действиях, что компанию контролирует Министерство иностранных дел России, и что она сотрудничает с ФСБ.

Сама компания отрицает какое-либо неафишируемое сотрудничество с властями, хотя технологии «Папилон» действительно широко используются в российских ведомствах, в том числе в ФСБ. Руководство компании отмечает, что они помогают правоохранительным органам раскрыть около 100 тыс. дел в год. Основатель компании Павел Зайцев работал в качестве инженера и программиста в российских военных структурах с 1985 по 1991 гг., пишет BuzzFeed.

Тайное соглашение о покупке

В распоряжении BuzzFeed имеется неподписанная копия лицензионного соглашения между французский и российской компаниями. Источники сообщают что получили его во время работы в Morpho. Соглашение датируется 2 июля 2008 г., то есть оно было заключена за год до того, как Morpho неожиданно обошла крупнейшие мировые фирмы по разработке биометрического ПО, включая американских конкурентов, и получила возможность работать с ФБР.

Соглашение дает Morpho, на тот момент Sagem Sécurité, право интегрировать код «Папилон» в свои разработки и продавать конечный продукт как свою собственную технологию. Оно также предполагает, что российская компания будет предоставлять обновления и улучшения кода в течение пяти лет, то есть до конца 2013 г. В свою очередь, Sagem Sécurité обязуется выплатить «Папилон» начальный взнос в размере около 3,8 млн евро, а потом осуществлять ежегодные выплаты. В этом же договоре «Папилон» декларирует отсутствие в ее коде неуказанных бэкдоров, троянов, «часовых бомб» и каких-либо других уязвимостей. Соглашение содержит пункт о неразглашении информации о сделке.

Как узнали о соглашении

По словам Десбуа, руководство Morpho периодически напоминало сотрудникам, что о закупке ПО у россиян никто не должен знать, особенно ФБР, иначе у компании будут проблемы. Десбуа и Хала сами не участвовали в интеграции кода в продукцию Morpho, но утверждают, что общались с разработчиками, которые этим занимались.

О существовании российского кода они узнали тогда, когда руководство запретило им вступать в конкуренцию с «Папилон», пояснив это тем, что между компаниями существует неписаное соглашение не конкурировать друг с другом. Десбуа и Хала раздобыли экземпляр договора о покупке кода именно затем, чтобы увидеть, содержит ли он такой пункт на бумаге, но его там не оказалось. Позднее Десбуа подал против Safran иск, в котором обвинил компанию в обмане правительства США примерно на $1 млрд. В случае успеха иска Десбуа получит миллионы, пишет BuzzFeed. Хала не имеет отношения к иску. Оба в свое время покинули Morpho добровольно, оставшись с ней в хороших отношениях.