Un développeur écope d'une peine de prison pour avoir saboté le réseau de son ancien employeur avec un « kill switch »

Programmé pour bloquer tous les utilisateurs si ses identifiants AD venaient à disparaître

Un développeur écope d'une peine de prison après avoir saboté le réseau de son ancien employeur avec un « kill switch »,
programmé pour bloquer tous les utilisateurs si ses identifiants dans l'annuaire actif de l'entreprise étaient désactivés

Un développeur de logiciels a été reconnu coupable d’avoir inséré un « kill switch » (ou interrupteur de désactivation), un code malveillant destiné à saboter le système de son ancien employeur après son licenciement, ce qui aurait entraîné des centaines de milliers de dollars de pertes. Davis Lu travaillait chez Eaton Corp. depuis environ 11 ans lorsqu'il est apparemment devenu mécontent d'une « réorganisation » de l'entreprise en 2018 qui « a réduit ses responsabilités ». Il risquait 10 ans de prison et a finalement été condamné à quatre ans de prison et trois ans de liberté surveillée pour avoir écrit et déployé un code malveillant sur le réseau de son ancien employeur. Au-delà de l'anecdote, cette affaire est une véritable leçon pour les professionnels de l'IT et les dirigeants d'entreprise, car elle révèle des failles de sécurité qu'il est crucial de corriger.

Davis Lu, 55 ans, développeur basé à Houston, était employé par Eaton Corporation, une entreprise américaine spécialisée dans la gestion de l’énergie. Il y travaillait depuis 2007, jusqu’à une réorganisation interne en 2018 qui l’a mis sur la touche, réduisant ses responsabilités et son accès aux systèmes. Face à ce revers, Lu a planifié sa vengeance de façon minutieuse.

Ses efforts pour saboter leur réseau ont commencé cette année-là, et l'année suivante, il avait implanté différentes formes de codes malveillants, créant des « boucles infinies » qui supprimaient les fichiers de profil des collègues, empêchant les connexions légitimes et provoquant des pannes de système, a expliqué le ministère de la Justice. Dans le but de ralentir ou de ruiner la productivité d'Eaton Corp., Lu a nommé ces codes en utilisant le mot japonais pour la destruction, « Hakai », et le mot chinois pour la léthargie, « HunShui ».

Mais rien n'était peut-être aussi destructeur que le « kill switch » que Lu avait conçu pour tout arrêter s'il était licencié.

Ce kill switch, selon le DOJ, semblait avoir été créé par Lu car il était nommé « IsDLEnabledinAD », qui est une abréviation apparente de « Is Davis Lu enabled in Active Directory » (Davis Lu est-il activé dans Active Directory, un nom beaucoup moins anonyme qu’il ne l’espérait). Lorsque Eaton l’a licencié le 9 septembre 2019, la suppression de son accès a activé le malware, verrouillant les comptes de milliers d’utilisateurs, provoquant des pannes massives et détruisant des données.

Le logiciel était un programme Java qui générait un nombre croissant de threads non terminaux dans une boucle infinie qui finissait par utiliser suffisamment de ressources pour faire planter le serveur.

« Le prévenu a trahi la confiance de son employeur en utilisant son accès et ses connaissances techniques pour saboter les réseaux de l'entreprise, semant le chaos et causant des centaines de milliers de dollars de pertes à une société américaine », a déclaré Matthew R. Galeotti, procureur général adjoint par intérim de la division pénale du ministère de la Justice. « Cependant, les compétences techniques et les subterfuges du prévenu ne l'ont pas sauvé des conséquences de ses actes. La division pénale s'engage à identifier et à poursuivre ceux qui attaquent les entreprises américaines, que ce soit de l'intérieur ou de l'extérieur, afin de les tenir responsables de leurs actes. »

Lorsque Lu a dû rendre son ordinateur portable professionnel, il s'est avéré qu'il l'avait utilisé pour mettre son plan à exécution. Son historique de recherche montrait qu'il avait cherché comment supprimer des données, étendre ses privilèges et dissimuler ses traces. Il avait également supprimé une grande partie des données chiffrées. Tout indiquait que ses actes étaient prémédités et préparés longuement.


Verdict et conséquences juridiques

Moins d'un mois après l'exécution de son logiciel malveillant, les agents fédéraux ont arrêté Lu. Il a reconnu son crime, mais a tout de même opté pour un procès devant jury. Une enquête a été ouverte, menée notamment par le FBI. Un jury fédéral à Cleveland a reconnu Lu coupable « d'atteinte intentionnelle à des ordinateurs protégés ». Il encourait jusqu’à 10 ans de prison. Mais jeudi, il a finalement été condamné à quatre ans d’emprisonnement, suivis de trois ans de liberté surveillée.

« Le FBI travaille sans relâche chaque jour pour s'assurer que les cybercriminels qui déploient des codes malveillants et nuisent aux entreprises américaines subissent les conséquences de leurs actes », a déclaré Brett Leatherman, directeur adjoint de la division cybercriminalité du FBI. « Je suis fier du travail de l'équipe cyber du FBI qui a conduit à la condamnation d'aujourd'hui et j'espère que cela enverra un message fort à ceux qui pourraient envisager de se livrer à des activités illégales similaires. Cette affaire souligne également l'importance d'identifier rapidement les menaces internes et met en évidence la nécessité d'une collaboration proactive avec votre bureau local du FBI afin d'atténuer les risques et de prévenir d'autres dommages. »

Les entreprises s'inquiètent des menaces internes malveillantes

Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars.

Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars et purger une période de liberté surveillée de trois ans après sa libération. L'enquête a été menée par les services secrets américains.

En décembre 2020, un ancien ingénieur de Cisco a été condamné à 24 mois derrière les barreaux après avoir causé des millions de dollars de dommages et de pertes pour la firme. Il aurait accédé illégalement à l'infrastructure cloud de Cisco en septembre 2018, déployant un code qui supprimait 456 machines virtuelles prenant en charge l'application WebEx Teams pour les clients.

En 2021, Levi Delgado, résident du Delaware et ancien administrateur informatique, a supprimé les comptes utilisateurs des employés et les serveurs de fichiers du centre médical dans lequel il travaillait auparavant.

Plus de la moitié des entreprises britanniques s'inquiètent des menaces internes malveillantes, selon une étude de Cifas datant de février 2024, qui cite des facteurs contributifs tels que le coût élevé de la vie et le travail à distance, qui peuvent permettre à des actes répréhensibles de passer inaperçus.

Conclusion : enjeux techniques et sécurité à retenir

Cette affaire, au-delà de sa dimension criminelle, est un rappel sévère des principes de sécurité informatique que nous, professionnels, devons appliquer au quotidien.

• Gestion des accès et des identités (IAM) : La première leçon est de mettre en place une politique d'IAM rigoureuse. Dès qu'un employé quitte l'entreprise, tous ses accès (comptes, VPN, etc.) doivent être révoqués immédiatement. Dans ce cas, les accès persistants ont permis au développeur de lancer son attaque à distance.
• Audits de code et revue par les pairs : Dans les équipes de développement, il est crucial d'instaurer des processus de revue de code et d'audits réguliers. Cela permet non seulement d'améliorer la qualité du code, mais aussi de détecter des backdoors, des codes malveillants ou des vulnérabilités avant qu'elles ne soient déployées.
• Surveillance des logs : Il est vital de surveiller les logs de connexion, d'activité et de modification sur les serveurs critiques. Un système d'alerte aurait pu signaler les actions suspectes de l'employé avant qu'il ne soit trop tard.
• La sécurité, ce n'est pas que du code : La sécurité est aussi une question de gestion des ressources humaines et de culture d'entreprise. Gérer les conflits et les départs de manière professionnelle et respectueuse est essentiel pour minimiser les risques.

L’affaire Davis Lu peut servir de cas d’école sur l’insider threat, un des risques les plus difficiles à anticiper pour les équipes de sécurité. Le plan était techniquement astucieux, mais maladroit dans son exécution (le nom du kill switch en dit long sur l’échec opérationnel). La justice a lourdement sanctionné ce sabotage. En guise de morale : la dématérialisation et la confiance en personne ne suffisent pas. Les politiques d’offboarding, de revocation d’accès, de restructuration de rôles (et même les conventions de dénomination des scripts) méritent une attention aussi rigoureuse que la sécurité périmétrique.

Source : ministère de la justice

Et vous ?

Quelles pratiques de code review et d’audit interne auraient pu permettre de détecter plus tôt la présence du « kill switch » ?

Comment mettre en place un offboarding sécurisé pour éviter qu’un employé sortant ne puisse déclencher ce genre d’attaque ?

Comment gérer la frustration ou le ressentiment des employés après une restructuration ou une perte de responsabilités ?

Quelles devraient être les peines maximales pour un employé qui sabote volontairement son entreprise : la prison, les amendes, ou une interdiction professionnelle ?

Les lois actuelles sur la cybercriminalité couvrent-elles suffisamment les menaces internes par rapport aux attaques extérieures (hackers, ransomware, etc.) ?