Un développeur de logiciels a été reconnu coupable d’avoir inséré un « kill switch » (ou interrupteur de désactivation), un code malveillant destiné à saboter le système de son ancien employeur après son licenciement, ce qui aurait entraîné des centaines de milliers de dollars de pertes. Davis Lu travaillait chez Eaton Corp. depuis environ 11 ans lorsqu'il est apparemment devenu mécontent d'une « réorganisation » de l'entreprise en 2018 qui « a réduit ses responsabilités ». Il risquait 10 ans de prison et a finalement été condamné à quatre ans de prison et trois ans de liberté surveillée pour avoir écrit et déployé un code malveillant sur le réseau de son ancien employeur. Au-delà de l'anecdote, cette affaire est une véritable leçon pour les professionnels de l'IT et les dirigeants d'entreprise, car elle révèle des failles de sécurité qu'il est crucial de corriger.Davis Lu, 55 ans, développeur basé à Houston, était employé par Eaton Corporation, une entreprise américaine spécialisée dans la gestion de l’énergie. Il y travaillait depuis 2007, jusqu’à une réorganisation interne en 2018 qui l’a mis sur la touche, réduisant ses responsabilités et son accès aux systèmes. Face à ce revers, Lu a planifié sa vengeance de façon minutieuse.
Ses efforts pour saboter leur réseau ont commencé cette année-là, et l'année suivante, il avait implanté différentes formes de codes malveillants, créant des « boucles infinies » qui supprimaient les fichiers de profil des collègues, empêchant les connexions légitimes et provoquant des pannes de système, a expliqué le ministère de la Justice. Dans le but de ralentir ou de ruiner la productivité d'Eaton Corp., Lu a nommé ces codes en utilisant le mot japonais pour la destruction, « Hakai », et le mot chinois pour la léthargie, « HunShui ».
Mais rien n'était peut-être aussi destructeur que le « kill switch » que Lu avait conçu pour tout arrêter s'il était licencié.
Ce kill switch, selon le DOJ, semblait avoir été créé par Lu car il était nommé « IsDLEnabledinAD », qui est une abréviation apparente de « Is Davis Lu enabled in Active Directory » (Davis Lu est-il activé dans Active Directory, un nom beaucoup moins anonyme qu’il ne l’espérait). Lorsque Eaton l’a licencié le 9 septembre 2019, la suppression de son accès a activé le malware, verrouillant les comptes de milliers d’utilisateurs, provoquant des pannes massives et détruisant des données.
Le logiciel était un programme Java qui générait un nombre croissant de threads non terminaux dans une boucle infinie qui finissait par utiliser suffisamment de ressources pour faire planter le serveur.
« Le prévenu a trahi la confiance de son employeur en utilisant son accès et ses connaissances techniques pour saboter les réseaux de l'entreprise, semant le chaos et causant des centaines de milliers de dollars de pertes à une société américaine », a déclaré Matthew R. Galeotti, procureur général adjoint par intérim de la division pénale du ministère de la Justice. « Cependant, les compétences techniques et les subterfuges du prévenu ne l'ont pas sauvé des conséquences de ses actes. La division pénale s'engage à identifier et à poursuivre ceux qui attaquent les entreprises américaines, que ce soit de l'intérieur ou de l'extérieur, afin de les tenir responsables de leurs actes. »
Lorsque Lu a dû rendre son ordinateur portable professionnel, il s'est avéré qu'il l'avait utilisé pour mettre son plan à exécution. Son historique de recherche montrait qu'il avait cherché comment supprimer des données, étendre ses privilèges et dissimuler ses traces. Il avait également supprimé une grande partie des données chiffrées. Tout indiquait que ses actes étaient prémédités et préparés longuement.
Verdict et conséquences juridiques
Moins d'un mois après l'exécution de son logiciel malveillant, les agents fédéraux ont arrêté Lu. Il a reconnu son crime, mais a tout de même opté pour un procès devant jury. Une enquête a été ouverte, menée notamment par le FBI. Un jury fédéral à...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
