Un développeur de logiciels a été reconnu coupable d’avoir inséré un « kill switch » (ou interrupteur de désactivation), un code malveillant destiné à saboter le système de son ancien employeur après son licenciement, ce qui aurait entraîné des centaines de milliers de dollars de pertes. Davis Lu travaillait chez Eaton Corp. depuis environ 11 ans lorsqu'il est apparemment devenu mécontent d'une « réorganisation » de l'entreprise en 2018 qui « a réduit ses responsabilités ». Il risquait 10 ans de prison et a finalement été condamné à quatre ans de prison et trois ans de liberté surveillée pour avoir écrit et déployé un code malveillant sur le réseau de son ancien employeur. Au-delà de l'anecdote, cette affaire est une véritable leçon pour les professionnels de l'IT et les dirigeants d'entreprise, car elle révèle des failles de sécurité qu'il est crucial de corriger.Davis Lu, 55 ans, développeur basé à Houston, était employé par Eaton Corporation, une entreprise américaine spécialisée dans la gestion de l’énergie. Il y travaillait depuis 2007, jusqu’à une réorganisation interne en 2018 qui l’a mis sur la touche, réduisant ses responsabilités et son accès aux systèmes. Face à ce revers, Lu a planifié sa vengeance de façon minutieuse.
Ses efforts pour saboter leur réseau ont commencé cette année-là, et l'année suivante, il avait implanté différentes formes de codes malveillants, créant des « boucles infinies » qui supprimaient les fichiers de profil des collègues, empêchant les connexions légitimes et provoquant des pannes de système, a expliqué le ministère de la Justice. Dans le but de ralentir ou de ruiner la productivité d'Eaton Corp., Lu a nommé ces codes en utilisant le mot japonais pour la destruction, « Hakai », et le mot chinois pour la léthargie, « HunShui ».
Mais rien n'était peut-être aussi destructeur que le « kill switch » que Lu avait conçu pour tout arrêter s'il était licencié.
Ce kill switch, selon le DOJ, semblait avoir été créé par Lu car il était nommé « IsDLEnabledinAD », qui est une abréviation apparente de « Is Davis Lu enabled in Active Directory » (Davis Lu est-il activé dans Active Directory, un nom beaucoup moins anonyme qu’il ne l’espérait). Lorsque Eaton l’a licencié le 9 septembre 2019, la suppression de son accès a activé le malware, verrouillant les comptes de milliers d’utilisateurs, provoquant des pannes massives et détruisant des données.
Le logiciel était un programme Java qui générait un nombre croissant de threads non terminaux dans une boucle infinie qui finissait par utiliser suffisamment de ressources pour faire planter le serveur.
« Le prévenu a trahi la confiance de son employeur en utilisant son accès et ses connaissances techniques pour saboter les réseaux de l'entreprise, semant le chaos et causant des centaines de milliers de dollars de pertes à une société américaine », a déclaré Matthew R. Galeotti, procureur général adjoint par intérim de la division pénale du ministère de la Justice. « Cependant, les compétences techniques et les subterfuges du prévenu ne l'ont pas sauvé des conséquences de ses actes. La division pénale s'engage à identifier et à poursuivre ceux qui attaquent les entreprises américaines, que ce soit de l'intérieur ou de l'extérieur, afin de les tenir responsables de leurs actes. »
Lorsque Lu a dû rendre son ordinateur portable professionnel, il s'est avéré qu'il l'avait utilisé pour mettre son plan à exécution. Son historique de recherche montrait qu'il avait cherché comment supprimer des données, étendre ses privilèges et dissimuler ses traces. Il avait également supprimé une grande partie des données chiffrées. Tout indiquait que ses actes étaient prémédités et préparés longuement.
Verdict et conséquences juridiques
Moins d'un mois après l'exécution de son logiciel malveillant, les agents fédéraux ont arrêté Lu. Il a reconnu son crime, mais a tout de même opté pour un procès devant jury. Une enquête a été ouverte, menée notamment par le FBI. Un jury fédéral à Cleveland a reconnu Lu coupable « d'atteinte intentionnelle à des ordinateurs protégés ». Il encourait jusqu’à 10 ans de prison. Mais jeudi, il a finalement été condamné à quatre ans d’emprisonnement, suivis de trois ans de liberté surveillée.
« Le FBI travaille sans relâche chaque jour pour s'assurer que les cybercriminels qui déploient des codes malveillants et nuisent aux entreprises américaines subissent les conséquences de leurs actes », a déclaré Brett Leatherman, directeur adjoint de la division cybercriminalité du FBI. « Je suis fier du travail de l'équipe cyber du FBI qui a conduit à la condamnation d'aujourd'hui et j'espère que cela enverra un message fort à ceux qui pourraient envisager de se livrer à des activités illégales similaires. Cette affaire souligne également l'importance d'identifier rapidement les menaces internes et met en évidence la nécessité d'une collaboration proactive avec votre bureau local du FBI afin d'atténuer les risques et de prévenir d'autres dommages. »
Les entreprises s'inquiètent des menaces internes malveillantes
Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars.
Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars et purger une période de liberté surveillée de trois ans après sa libération. L'enquête a été menée par les services secrets américains.
En décembre 2020, un ancien ingénieur de Cisco a été condamné à 24 mois derrière les barreaux après avoir causé des millions de dollars de dommages et de pertes pour la firme. Il aurait accédé illégalement à l'infrastructure cloud de Cisco en septembre 2018, déployant un code qui supprimait 456 machines virtuelles prenant en charge l'application WebEx Teams pour les clients.
En 2021, Levi Delgado, résident du Delaware et ancien administrateur informatique, a supprimé les comptes utilisateurs des employés et les serveurs de fichiers du centre médical dans lequel il travaillait auparavant.
Plus de la moitié des entreprises britanniques s'inquiètent des menaces internes malveillantes, selon une étude de Cifas datant de février 2024, qui cite des facteurs contributifs tels que le coût élevé de la vie et le travail...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
