Un développeur condamné pour avoir activé un code « Kill Switch » lors de son licenciement,il risque 10 ans de prison après avoir saboté les systèmes informatiques de son employeur et supprimé des données
Dans une affaire qui met en lumière les risques posés par des employés mécontents dans le domaine technologique, un développeur de logiciels a été reconnu coupable d’avoir inséré un "kill switch", un code malveillant destiné à saboter le système de son ancien employeur après son licenciement. Bien que l’accusé ait admis les faits, il prévoit de faire appel, soulevant des débats sur la justice, la cybersécurité et l’éthique professionnelle.
Un développeur de logiciels de 55 ans risque jusqu'à 10 ans de prison pour avoir déployé un code malveillant qui a saboté le réseau de son ancien employeur, ce qui aurait entraîné des centaines de milliers de dollars de pertes. Le ministère américain de la justice a annoncé vendredi que Davis Lu avait été condamné par un jury pour avoir « causé des dommages intentionnels à des ordinateurs protégés » qui appartiendraient à la société de gestion de l'énergie Eaton Corp, basée dans l'Ohio et à Dublin.
Lu travaillait chez Eaton Corp. depuis environ 11 ans lorsqu'il est apparemment devenu mécontent d'une « réorganisation » de l'entreprise en 2018 qui « a réduit ses responsabilités », a déclaré le ministère de la Justice.
Ses efforts pour saboter leur réseau ont commencé cette année-là, et l'année suivante, il avait implanté différentes formes de codes malveillants, créant des « boucles infinies » qui supprimaient les fichiers de profil des collègues, empêchant les connexions légitimes et provoquant des pannes de système, a expliqué le ministère de la Justice. Dans le but de ralentir ou de ruiner la productivité d'Eaton Corp., Lu a nommé ces codes en utilisant le mot japonais pour la destruction, « Hakai », et le mot chinois pour la léthargie, « HunShui », a déclaré le ministère de la justice.
Mais rien n'était peut-être aussi destructeur que le « kill switch » que Lu avait conçu pour tout arrêter s'il était licencié.
Ce kill switch, selon le DOJ, semblait avoir été créé par Lu car il était nommé « IsDLEnabledinAD », qui est une abréviation apparente de « Is Davis Lu enabled in Active Directory » (Davis Lu est-il activé dans Active Directory). Il s'est également « automatiquement activé » le jour du licenciement de Lu en 2019, a déclaré le ministère de la Justice, perturbant les utilisateurs d'Eaton Corp. dans le monde entier.
Envoyé par Ministère de la Justice
Le 4 août 2019, il a introduit un code malveillant qui a provoqué des pannes de système et empêché les utilisateurs de se connecter. Plus précisément, il a créé des « boucles infinies » (dans ce cas, un code conçu pour épuiser les threads Java en créant de manière répétée de nouveaux threads sans les terminer correctement, ce qui entraîne des pannes ou des blocages du serveur), supprimé les fichiers de profil des collègues et mis en œuvre un « kill switch » qui verrouillerait tous les utilisateurs si ses informations d'identification dans l'annuaire actif de l'entreprise étaient désactivées. Le code « kill switch » - que Lu a nommé « IsDLEnabledinAD », abréviation de « Is Davis Lu enabled in Active Directory » - a été automatiquement activé lors de son licenciement le 9 septembre 2019 et a eu un impact sur des milliers d'utilisateurs de l'entreprise dans le monde entier. Lu a nommé d'autres codes « Hakai », un mot japonais signifiant « destruction », et « HunShui », un mot chinois signifiant « sommeil » ou « léthargie ». En outre, le jour où on lui a demandé de rendre son ordinateur portable de fonction, Lu a supprimé des données chiffrées. L'historique de ses recherches sur Internet a révélé qu'il avait recherché des méthodes permettant d'élever les privilèges, de cacher des processus et de supprimer rapidement des fichiers, ce qui indique qu'il avait l'intention d'entraver les efforts de ses collègues pour résoudre les perturbations du système. L'employeur de Lu a subi des centaines de milliers de dollars de pertes à la suite des actions de Lu.
Eaton Corp. a découvert le code malveillant en essayant de mettre fin à la boucle infinie qui provoquait la panne des systèmes. Ils se sont rapidement rendu compte que le code était exécuté à partir d'un ordinateur utilisant l'identifiant de Lu, selon un document déposé au tribunal, et fonctionnant sur un serveur auquel seul Lu, en tant que développeur de logiciels, avait accès. Sur ce même serveur, d'autres codes malveillants ont été découverts, notamment le code supprimant les données du profil de l'utilisateur et activant le bouton « kill switch » (interrupteur de mise à mort).
En outre, le ministère de la justice a fouillé dans l'historique des recherches de Lu et a trouvé des preuves « qu'il avait recherché des méthodes pour escalader les privilèges, cacher des processus et supprimer rapidement des fichiers, ce qui indique une intention d'entraver les efforts de ses collègues pour résoudre les perturbations du système ».
« Malheureusement, Davis Lu a utilisé sa formation, son expérience et ses compétences pour nuire et entraver non seulement son employeur et sa capacité à mener ses activités en toute sécurité, mais aussi pour étouffer des milliers d'utilisateurs dans le monde entier », a déclaré Greg Nelsen, agent spécial en charge du FBI, dans un communiqué.
Un verdict que son avocat estime être sévère tandis qu'il prépare un appel
Selon le dossier, Lu a admis auprès des enquêteurs qu'il avait créé le code provoquant des « boucles infinies ». Mais il est « déçu » par le verdict du jury étant donné qu'il risque une peine allant jusqu'à 10 ans de prison, une sanction exemplaire qui vise à dissuader toute tentative similaire dans le futur.
Son avocat, Ian Friedman, a déclaré qu'il prévoit de faire appel : « M. Davis et ses partisans croient en son innocence, et cette affaire sera examinée en appel ».
La date de la sentence n'a pas encore été fixée, a indiqué le ministère de la justice.
Ce cas met en évidence plusieurs enjeux majeurs en matière de cybersécurité et d’éthique professionnelle :
- La gestion des accès après un licenciement : Les entreprises doivent s'assurer qu'un employé licencié ne puisse plus accéder aux systèmes informatiques immédiatement après son départ.
- Les risques posés par les développeurs ayant un accès critique : Lorsqu'un employé possède des autorisations privilégiées, il devient un facteur de risque en cas de conflit.
- L’éthique et la responsabilité des développeurs : L'insertion volontaire de code malveillant est une violation des principes fondamentaux de la programmation et de la confiance qui lie un employé à son entreprise.
Les entreprises s'inquiètent des menaces internes malveillantes
Si Lu risque 10 ans, Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars.
Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.