Deux frères effacent 96 bases de données gouvernementales dans les minutes qui suivent leur licenciement, puis demandent à une IA comment effacer leurs traces pour dissimuler le sabotage

Deux frères effacent 96 bases de données gouvernementales dans les minutes qui suivent leur licenciement,
puis demandent à une IA comment effacer leurs traces pour dissimuler le sabotage

En 2026, les vagues de licenciements massifs dans la tech, plus de 120 000 postes supprimés depuis janvier, posent une question que l'industrie préfère souvent taire : que se passe-t-il quand un administrateur systèmes ou un développeur congédié garde rancœur, et surtout, garde ses accès ? Retour sur une série de cas judiciaires édifiants qui illustrent l'une des menaces internes les plus redoutées de la cybersécurité, et sur les leçons que les entreprises refusent encore d'en tirer.

Le secteur technologique traverse une période de restructuration sans précédent. Depuis le début de l'année 2026, plus de 92 000 postes ont été supprimés dans la tech, avec un mois d'avril qui s'est révélé être le pire en presque deux ans, affectant à lui seul 45 000 travailleurs. Selon le cabinet Challenger, Gray & Christmas, l'IA est désormais citée comme la principale cause de ces suppressions d'emplois, représentant 26 % des licenciements d'avril, soit deux mois consécutifs où l'automatisation est invoquée comme moteur premier des coupes.

Dans ce climat de tension, une catégorie de professionnels se retrouve dans une position particulièrement délicate : les administrateurs systèmes, les développeurs seniors et les ingénieurs DevOps. Ces profils disposent, par nature de leurs fonctions, d'un accès privilégié à des infrastructures critiques. Lorsque la rupture du contrat de travail se passe mal (ou simplement très vite), la question de la révocation effective et immédiate de ces accès devient une question de sécurité nationale, pas seulement d'hygiène RH.

56 minutes pour effacer 96 bases de données fédérales

Le cas le plus retentissant de ces derniers mois illustre à quel point cette fenêtre d'accès post-licenciement peut être dévastatrice. Sohaib Akhter et son frère jumeau Muneeb ont été licenciés le 18 février 2025 de leur entreprise basée à Washington D.C., qui desservait plus de 45 agences fédérales américaines. En 56 minutes à peine, ils ont effacé 96 bases de données gouvernementales contenant des informations sensibles.

Un jury fédéral a condamné Sohaib Akhter le 8 mai 2026. La destruction a débuté presque immédiatement après le licenciement : au moment où l'employeur découvrait une condamnation pénale antérieure non déclarée lors de la réunion de fin de contrat par visioconférence, Muneeb disposait encore d'un accès actif aux systèmes hébergés à Ashburn, en Virginie. Il a mis à profit ces précieuses minutes pour protéger en écriture puis supprimer méthodiquement des bases contenant des données de production du Département de la Sécurité Intérieure, des dossiers de demandes d'accès à l'information (FOIA) et des systèmes de gestion des affaires judiciaires. Les dommages incluent également le vol de données personnelles d'environ 450 individus issus de systèmes de l'IRS, ainsi que la copie de 1 805 fichiers de l'EEOC sur des clés USB.

Ce qui rend l'affaire encore plus troublante : les deux frères avaient déjà plaidé coupables en 2015 pour fraude électronique et accès non autorisé à des systèmes du Département d'État, Sohaib purgeant deux ans de prison et Muneeb plus de trois. Ils avaient pourtant réintégré des postes nécessitant des autorisations de sécurité et un accès privilégié à des bases de données fédérales. La question du contrôle des antécédents des prestataires reste entière. Sohaib Akhter fait face à une peine maximale de 21 ans de prison lors de sa mise en examen prévue le 9 septembre 2026, tandis que son frère risque jusqu'à 45 ans pour plusieurs chefs de fraude informatique, conspiration, vol de données gouvernementales et usurpation d'identité aggravée.

Un détail technique glaçant : pour effacer leurs traces, les frères Akhter ont interrogé une IA générative pour obtenir des instructions sur la manière d'effacer les journaux SQL Server et Windows, consultant littéralement un assistant IA pour savoir comment dissimuler un crime informatique.


La bombe logique du développeur floué

Ce cas extrême n'est pas isolé. En août 2025, un tribunal fédéral de l'Ohio a rendu une décision dans une affaire aux mécanismes tout aussi sophistiqués, celle de Davis Lu, développeur senior chez Eaton Corporation, un fabricant américain de systèmes de gestion de l'énergie.

En 2018, une réorganisation interne avait rétrogradé Lu, lui retirant une partie de ses responsabilités et de ses accès. En réponse, il a commencé en 2019 à saboter les systèmes de son employeur de l'intérieur en y cachant des routines malveillantes. La première consistait en une boucle infinie déclenchée le 4 août, forçant les machines virtuelles Java à générer des threads en continu jusqu'à épuiser les ressources et crasher les serveurs de production.

La seconde attaque, plus insidieuse, consistait en une routine qui interrogeait en permanence l'annuaire Active Directory de l'entreprise pour vérifier si le compte de Lu était toujours actif. Le jour où l'accès réseau de Lu a été suspendu (le 9 septembre 2019, lors de son licenciement effectif), un code de type « kill switch » s'est automatiquement déclenché et a supprimé les profils AD d'autres employés, les verrouillant hors du réseau.

L'enquête a révélé un détail savoureux dans sa candeur : Lu avait nommé son kill switch « IsDLEnabledinAD », abréviation transparente de « Is Davis Lu enabled in Active Directory ? ». Ses recherches sur Internet montraient également qu'il s'était documenté sur des méthodes pour escalader ses privilèges, dissimuler des processus et supprimer des fichiers en masse. Lu a été condamné à quatre ans de prison. Selon le département américain de la Justice, il avait « trahi la confiance de son employeur en utilisant ses compétences pour saboter les réseaux de l'entreprise, causant des centaines de milliers de dollars de pertes ».

Un phénomène structurel, pas des cas isolés

Ces affaires s'inscrivent dans une longue série de précédents documentés. En 2020, Sudhish Kasaba Ramesh, ancien employé de Cisco, avait plaidé coupable pour avoir endommagé l'infrastructure cloud interne de Cisco, forçant l'entreprise à débourser 1,4 million de dollars en mesures correctives et à rembourser 1 million de dollars à des clients affectés. La même année, Nickolas Sharp, administrateur chez Ubiquiti Networks, avait volé des données confidentielles, tenté d'en imputer la responsabilité à d'autres employés, puis extorqué deux millions de dollars à son entreprise, tout en participant officiellement à la remédiation de l'incident, avant d'être condamné à six ans de prison.

Aux États-Unis, le Computer Fraud and Abuse Act (CFAA) encadre ce type de comportement : il est illégal de transmettre délibérément un programme, une information ou une commande qui cause des dommages à un système informatique sans autorisation. Un employé en colère qui supprime des fichiers critiques de son employeur ou qui lance des attaques contre ses serveurs tombe sous le coup de cette loi fédérale, et peut se retrouver en prison fédérale.

Ce que ces cas révèlent sur les failles systémiques

Au-delà de l'aspect pénal, ces affaires pointent des défaillances organisationnelles que la pression des vagues de licenciements en cours ne fait qu'aggraver.
La révocation des accès est rarement instantanée. Dans le cas des frères Akhter, Muneeb disposait encore d'un accès opérationnel au moment où son frère était en train d'être licencié par visioconférence. Ce délai de quelques dizaines de minutes a suffi pour effacer l'équivalent de mois de travail sur 96 bases de données. Les procédures de révocation des accès, idéalement automatisées et atomiques, restent un angle mort dans de nombreuses organisations.

La séparation des privilèges est insuffisante. Dans le cas de Davis Lu, un développeur sénior disposait d'un accès suffisant pour déployer du code malveillant en production sans que cela ne soit détecté avant que les dégâts ne se manifestent. Le principe du moindre privilège (least privilege), pourtant fondamental en sécurité des systèmes d'information, reste souvent une aspiration théorique dans les environnements où la rapidité de développement prime.

Le contrôle des antécédents des prestataires est défaillant. L'affaire Akhter pose une question particulièrement embarrassante pour l'écosystème des sous-traitants fédéraux : comment deux individus ayant des antécédents pénaux spécifiquement liés à des intrusions informatiques dans des systèmes gouvernementaux ont-ils pu être recrutés dans des rôles leur donnant accès à des dizaines d'agences fédérales ? L'inspectrice générale du FDIC-OIG, Jennifer L. Fain, a qualifié leurs actes de « mépris flagrant pour la sécurité et l'intégrité des systèmes d'information fédéraux ».

L'IA devient un outil de couverture. La tentative des frères Akhter d'utiliser une IA générative pour apprendre à effacer des journaux système est un signal préoccupant. Si l'IA démocratise l'accès à des techniques offensives pour des acteurs peu expérimentés, elle crée aussi de nouveaux vecteurs dans les scénarios de menace interne.

La menace interne à l'heure des licenciements massifs

Selon Matthew Baden, directeur chez The Search Experience, environ 20 % seulement des licenciements tech de 2026 sont directement liés à des gains d'efficacité liés à l'IA ; le reste relève largement d'une correction post-pandémie et d'une optimisation budgétaire classique, souvent rebaptisée « restructuration IA » pour des raisons d'image boursière. En d'autres termes, des dizaines de milliers d'informaticiens se retrouvent sur le carreau pour des raisons que leurs employeurs préfèrent maquiller, une circonstance qui n'est pas de nature à favoriser une séparation apaisée.

Dans ce contexte, la menace interne (qu'elle soit le fait d'un employé encore en poste ou d'un ancien qui conserve des accès) s'impose comme l'un des risques cybersécurité les plus sous-estimés de l'année. Les attaques externes font la une ; les destructions venues de l'intérieur, elles, se règlent discrètement devant les tribunaux, longtemps après que les dégâts sont consommés.

Les équipes sécurité et RH n'ont pas besoin d'attendre la prochaine vague de suppressions de postes pour agir : audits des comptes à privilèges, procédures de révocation automatisée, journalisation immuable des accès administrateurs, et revue régulière des habilitations sont des mesures connues depuis vingt ans. Le problème n'est pas la méconnaissance des bonnes pratiques, c'est leur non-application systématique, dans des organisations où la pression sur les délais et la confiance implicite accordée aux équipes techniques ont longtemps prévalu sur la rigueur des contrôles.

Sources : Communiqué officiel du DOJ, Tad Nelson & Associates

Et vous ?

Dans votre organisation, la révocation des accès lors d'un licenciement est-elle instantanée et automatisée, ou repose-t-elle encore sur une checklist manuelle ? Quel est le délai réel entre la notification et la désactivation effective des comptes à privilèges ?

Le principe du moindre privilège est-il réellement appliqué dans vos environnements de production, ou les développeurs seniors disposent-ils encore d'accès administrateur « par habitude » ou « pour gagner du temps » ?

Comment concilier la nécessité de contrôler rigoureusement les antécédents des prestataires et sous-traitants avec la pression commerciale qui pousse à déployer rapidement des ressources externes dans des environnements sensibles ?

L'utilisation d'une IA générative pour apprendre à effacer des traces numériques change-t-elle fondamentalement le profil de risque de la menace interne ? Faut-il surveiller les requêtes adressées aux LLMs depuis les réseaux d'entreprise ?