Un informaticien, ex employé d’une entreprise, vient de tomber dans les filets de la justice américaine. Motif : Il a obtenu un accès non autorisé aux systèmes informatiques de l’entreprise en accédant à distance à un compte administrateur. Il a ensuite programmé une série de tâches visant à perturber les activités de l'entreprise, notamment en changeant les mots de passe des administrateurs et en supprimant des sauvegardes. Le tableau ravive la question de la gestion des accès en entreprise étant donné que l’ancien employé a réussi à exploiter la connaissance de son milieu de travail, bien que n’en faisant plus partie, pour lancer cette attaque.Daniel Rhyne, ingénieur chargé de l'installation des serveurs de messagerie dans une entreprise industrielle américaine dont le nom n'a pas été dévoilé, a tenté d'extorquer à son entreprise 750 000 dollars en bitcoins.
Selon un communiqué de presse publié par les autorités judiciaires américaines, Daniel Rhyne a obtenu un accès non autorisé aux systèmes informatiques de l'entreprise en accédant à distance à un compte d'administrateur.
Après avoir accédé à l'environnement de l'entreprise, Rhyne a programmé une série de tâches visant à perturber les activités de l'entreprise : modification des mots de passe des administrateurs et en arrêt des serveurs.
Le 25 novembre 2023, les employés de l'entreprise ont reçu un courriel d'extorsion les avertissant que les administrateurs informatiques de l'entreprise avaient été bloqués ou supprimés du réseau de l'entreprise. Le courriel indiquait que les sauvegardes des serveurs de l'organisation avaient été effacées et menaçait de fermer d'autres serveurs pour chaque jour où la demande de rançon de Rhyne ne serait pas satisfaite.
Les autorités ont pu remonter les messages d'extorsion jusqu'à une adresse électronique contrôlée par Rhyne, qui a été arrêté dans le Missouri le 27 août 2024. Rhyne a été inculpé d'un chef d'extorsion, d'un chef d'endommagement intentionnel d'un ordinateur protégé et d'un chef d'escroquerie électronique. Il risque une peine maximale de 35 ans de prison et une amende de 750 000 dollars.
[Tweet] <blockquote class="twitter-tweet"><p lang="fr" dir="ltr">Un ancien employé de 57 ans, arrêté pour tentative d’extorsion de données 💀🔐 suite à une opération de cyber-chantage menée contre son ancien employeur, 🏭 une entreprise industrielle.<br><br>👉 <a href="https://t.co/uUKoJFMGAy">https://t.co/uUKoJFMGAy</a> <a href="https://t.co/Gagh61jFA6">pic.twitter.com/Gagh61jFA6</a></p>— Damien Bancal \o/ (@Damien_Bancal) <a href="https://twitter.com/Damien_Bancal/status/1833154715779301738?ref_src=twsrc%5Etfw">September 9, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/Tweet]
C’est un tableau qui refait surface de temps en temps dans la filière IT
Entre novembre 2021 et octobre 2022, Kandula a fait partie d'une équipe de 20 personnes chargée de gérer le système informatique d'assurance qualité (QA) de NCS. NCS est une entreprise qui offre des services dans le domaine des technologies de l'information et de la communication. Le système géré par l'ancienne équipe de Kandula était utilisé pour tester les nouveaux logiciels et programmes avant leur lancement.
Ce dernier s’appuyait sur environ 180 serveurs virtuels, sur lesquels aucune information sensible n'était stockée. Après la fin du contrat de Kandula et son retour en Inde, il a utilisé son ordinateur portable pour obtenir un accès non autorisé au système en utilisant les identifiants de connexion de l'administrateur. Il l'a fait à six reprises entre le 6 et le 17 janvier 2023.
En février de la même année, Kandula est retourné à Singapour après avoir trouvé un nouvel emploi. Il a loué une chambre chez un ancien collègue et a utilisé son réseau Wi-Fi pour accéder au système de son ancienne entreprise une fois, le 23 février 2023. Au cours dudit accès non autorisé, il a écrit des scripts informatiques pour tester s'ils pouvaient être utilisés sur le système pour supprimer les serveurs.
En mars 2023, il a accédé 13 fois au système d'assurance qualité du SOC. Les 18 et 19 mars, il a exécuté un script programmé pour supprimer 180 serveurs virtuels dans le système. Son script a été écrit de manière à supprimer les serveurs un par un.
Le lendemain, l'équipe de son ancienne entreprise s'est rendu compte que le système était inaccessible et a tenté de le dépanner, mais en vain. Ils ont découvert que les serveurs avaient été supprimés.
Le 11 avril 2023, un rapport de police a été établi et plusieurs adresses IP découvertes lors d'enquêtes internes ont été remises à la police. L'ordinateur portable de Kandula a été saisi par la police et le script utilisé pour effectuer les suppressions y a été trouvé.
Les investigations ont révélé qu'il avait recherché sur Google des scripts permettant de supprimer des serveurs virtuels, qu'il avait ensuite utilisés pour coder le script. À tout moment, il savait, après la fin de son emploi chez NCS, qu'il n'était pas autorisé à accéder au système.
[Tweet] <blockquote class="twitter-tweet"><p lang="en" dir="ltr">Upset that he was fired, Kandula Nagaraju hacked into his former company’s computer systems and deleted 180 virtual servers, costing them about $918,000 <a href="https://t.co/wsuNOWiTNg">https://t.co/wsuNOWiTNg</a> <a href="https://t.co/k3VfzZD6iq">pic.twitter.com/k3VfzZD6iq</a></p>— 🇺🇦 زهراء 🇺🇦 (@___xZ___zara) <a href="https://twitter.com/___xZ___zara/status/1800522105840455991?ref_src=twsrc%5Etfw">June 11, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/Tweet]
Une société britannique a de même accusé un ex-employé d’avoir supprimé une grande partie de ses données par le passé. La société du nom de Voova est une entreprise informatique britannique qui fournit à d’autres entreprises des services Web tel que des applications et sites Web et d’autres services de gestion. Voova a accusé son ex-employé d’avoir usurpé l’identité de l’un de ses anciens collègues pour pirater et supprimer des données de l’entreprise d’une valeur totale avoisinant un demi-million de livres. L’accusé Steffan Needham, âgé de 35 ans, est un ex-employé de Voova. Selon les informations citées par l’entreprise, celui-ci aurait travaillé chez elle pendant 4 semaines environ en tant que consultant informatique avant d’être renvoyé pour raison d’incompétence.
« Needham a été libéré de son contrat avec Voova pour performance inférieure à la normale », a déclaré au tribunal Richard Moss, le procureur chargé de l’affaire. Des propos de l’entreprise qui n’aurait pas plu à Needham ? On ne saurait répondre à cette question avec certitude. Les faits remonteraient à mai 2016. Après une période d’essai, l’entreprise a congédié Steffan Needham. Quelques mois plus tard, l’entreprise l’a accusé d’avoir supprimé une partie importante de ses données stockées sur ses serveurs AWS. Une expérience qui n’aurait pas laissé indifférent l’intéressé ? « Steffan Needham aigri a ciblé Amazon Web Services, qui stockait les données techniques de la société de logiciels Voova à l'issue d'un essai d'un mois effectué au début 2016 dans cette société », a déclaré la Reading Crown Court.
Pour les chefs d’accusation émis contre lui, Steffan Needham a plaidé non coupable. Son infiltration dans les systèmes de l’entreprise a valu à cette dernière une perte de données d’une valeur chiffrée à cinq cent mille livres, mais également une perte de clients importants pour l’entreprise et une vague de licenciements de certains employés. À la question de savoir comment il a procédé, les enquêteurs ont indiqué qu’il a utilisé les identifiants de connexion de l’un de ses anciens collègues afin d’accéder aux données. Le tribunal a déclaré qu’en mai 2016, Steffan Needham a piraté le journal de son collègue Andy Gonzalez portant le pseudo de “speedy” pour accéder à son compte. Il a ensuite modifié le mot de passe de l’intéressé pour sécuriser le compte. Ce qui lui a permis de cibler les serveurs de données avant de procéder à leur suppression. Avait-il voulu se venger de l’entreprise ?
L’une des preuves qu’a avancée Voova est que l’adresse IP de la machine utilisée par Steffan Needham a pu être tracée. En effet, la cour a indiqué que l’adresse IP qui a été utilisée pour atteindre les serveurs AWS de l’entreprise via le compte de Gonzalez revenait à une entreprise du nom de Metronet, un revendeur britannique de connectivité et de services cloud basé à Manchester. D’après les déclarations de la cour, un des clients de Metronet est une autre entreprise connue sous le nom de Valtech. C’est pour ce dernier que l’accusé travaillait au moment des faits en 2016. Cela dit, tous les experts ne semblent pas s’accorder sur le sujet. La question qui les divise est celle qui demande à savoir si la preuve présentée témoigne effectivement de l’implication de l’accusé.
Néanmoins, tous s’attellent à dire que la sécurité chez Voova laisse à désirer. Ils s'accordent à dire que la sécurité des comptes d’accès aux serveurs aurait pu être meilleure. Il n'y avait pas d'authentification multifactorielle, un moyen de confirmer l'ID utilisateur qui exige qu'un utilisateur vérifie son identification par quelque chose qu'il sait ou possède. Steffan est-il réellement coupable de ce dont on l'accuse ? Pour l’heure, la juge Sarah Campbell siégeant à la Reading Crown Court et le jury ont déclaré Steffan Needham coupable à deux des chefs d’accusation retenus contre lui. Needham, d’Atherton, à Manchester, a été inculpé d’un chef d’accès non autorisé à du matériel informatique et d’un chef de modification non autorisée de ce matériel. Il a été condamné à deux ans de prison, mais selon les lois en vigueur sur la détermination de la peine, il ne devrait pas passer plus de 12 mois en prison.
Source : DoJ
Et vous ?
Seriez-vous capable d’arriver à de tels extrêmes en tant qu'ex employé d'une entreprise ? Quelles sont les mesures que les entreprises peuvent prendre en matière de gestion des accès pour éviter que ce type de situations ne se produisent ? 
Envoyé par Artae
