Discussion :

[Stéphane le calme]

Un développeur condamné pour avoir activé un code « Kill Switch » lors de son licenciement,
il risque 10 ans de prison après avoir saboté les systèmes informatiques de son employeur et supprimé des données

Dans une affaire qui met en lumière les risques posés par des employés mécontents dans le domaine technologique, un développeur de logiciels a été reconnu coupable d’avoir inséré un "kill switch", un code malveillant destiné à saboter le système de son ancien employeur après son licenciement. Bien que l’accusé ait admis les faits, il prévoit de faire appel, soulevant des débats sur la justice, la cybersécurité et l’éthique professionnelle.

Un développeur de logiciels de 55 ans risque jusqu'à 10 ans de prison pour avoir déployé un code malveillant qui a saboté le réseau de son ancien employeur, ce qui aurait entraîné des centaines de milliers de dollars de pertes. Le ministère américain de la justice a annoncé vendredi que Davis Lu avait été condamné par un jury pour avoir « causé des dommages intentionnels à des ordinateurs protégés » qui appartiendraient à la société de gestion de l'énergie Eaton Corp, basée dans l'Ohio et à Dublin.

Lu travaillait chez Eaton Corp. depuis environ 11 ans lorsqu'il est apparemment devenu mécontent d'une « réorganisation » de l'entreprise en 2018 qui « a réduit ses responsabilités », a déclaré le ministère de la Justice.

Ses efforts pour saboter leur réseau ont commencé cette année-là, et l'année suivante, il avait implanté différentes formes de codes malveillants, créant des « boucles infinies » qui supprimaient les fichiers de profil des collègues, empêchant les connexions légitimes et provoquant des pannes de système, a expliqué le ministère de la Justice. Dans le but de ralentir ou de ruiner la productivité d'Eaton Corp., Lu a nommé ces codes en utilisant le mot japonais pour la destruction, « Hakai », et le mot chinois pour la léthargie, « HunShui », a déclaré le ministère de la justice.

Mais rien n'était peut-être aussi destructeur que le « kill switch » que Lu avait conçu pour tout arrêter s'il était licencié.

Ce kill switch, selon le DOJ, semblait avoir été créé par Lu car il était nommé « IsDLEnabledinAD », qui est une abréviation apparente de « Is Davis Lu enabled in Active Directory » (Davis Lu est-il activé dans Active Directory). Il s'est également « automatiquement activé » le jour du licenciement de Lu en 2019, a déclaré le ministère de la Justice, perturbant les utilisateurs d'Eaton Corp. dans le monde entier.

Le 4 août 2019, il a introduit un code malveillant qui a provoqué des pannes de système et empêché les utilisateurs de se connecter. Plus précisément, il a créé des « boucles infinies » (dans ce cas, un code conçu pour épuiser les threads Java en créant de manière répétée de nouveaux threads sans les terminer correctement, ce qui entraîne des pannes ou des blocages du serveur), supprimé les fichiers de profil des collègues et mis en œuvre un « kill switch » qui verrouillerait tous les utilisateurs si ses informations d'identification dans l'annuaire actif de l'entreprise étaient désactivées. Le code « kill switch » - que Lu a nommé « IsDLEnabledinAD », abréviation de « Is Davis Lu enabled in Active Directory » - a été automatiquement activé lors de son licenciement le 9 septembre 2019 et a eu un impact sur des milliers d'utilisateurs de l'entreprise dans le monde entier. Lu a nommé d'autres codes « Hakai », un mot japonais signifiant « destruction », et « HunShui », un mot chinois signifiant « sommeil » ou « léthargie ». En outre, le jour où on lui a demandé de rendre son ordinateur portable de fonction, Lu a supprimé des données chiffrées. L'historique de ses recherches sur Internet a révélé qu'il avait recherché des méthodes permettant d'élever les privilèges, de cacher des processus et de supprimer rapidement des fichiers, ce qui indique qu'il avait l'intention d'entraver les efforts de ses collègues pour résoudre les perturbations du système. L'employeur de Lu a subi des centaines de milliers de dollars de pertes à la suite des actions de Lu.

Un acte de sabotage prémédité

Eaton Corp. a découvert le code malveillant en essayant de mettre fin à la boucle infinie qui provoquait la panne des systèmes. Ils se sont rapidement rendu compte que le code était exécuté à partir d'un ordinateur utilisant l'identifiant de Lu, selon un document déposé au tribunal, et fonctionnant sur un serveur auquel seul Lu, en tant que développeur de logiciels, avait accès. Sur ce même serveur, d'autres codes malveillants ont été découverts, notamment le code supprimant les données du profil de l'utilisateur et activant le bouton « kill switch » (interrupteur de mise à mort).

En outre, le ministère de la justice a fouillé dans l'historique des recherches de Lu et a trouvé des preuves « qu'il avait recherché des méthodes pour escalader les privilèges, cacher des processus et supprimer rapidement des fichiers, ce qui indique une intention d'entraver les efforts de ses collègues pour résoudre les perturbations du système ».

« Malheureusement, Davis Lu a utilisé sa formation, son expérience et ses compétences pour nuire et entraver non seulement son employeur et sa capacité à mener ses activités en toute sécurité, mais aussi pour étouffer des milliers d'utilisateurs dans le monde entier », a déclaré Greg Nelsen, agent spécial en charge du FBI, dans un communiqué.

Un verdict que son avocat estime être sévère tandis qu'il prépare un appel

Selon le dossier, Lu a admis auprès des enquêteurs qu'il avait créé le code provoquant des « boucles infinies ». Mais il est « déçu » par le verdict du jury étant donné qu'il risque une peine allant jusqu'à 10 ans de prison, une sanction exemplaire qui vise à dissuader toute tentative similaire dans le futur.

Son avocat, Ian Friedman, a déclaré qu'il prévoit de faire appel : « M. Davis et ses partisans croient en son innocence, et cette affaire sera examinée en appel ».

La date de la sentence n'a pas encore été fixée, a indiqué le ministère de la justice.

Ce cas met en évidence plusieurs enjeux majeurs en matière de cybersécurité et d’éthique professionnelle :

• La gestion des accès après un licenciement : Les entreprises doivent s'assurer qu'un employé licencié ne puisse plus accéder aux systèmes informatiques immédiatement après son départ.
• Les risques posés par les développeurs ayant un accès critique : Lorsqu'un employé possède des autorisations privilégiées, il devient un facteur de risque en cas de conflit.
• L’éthique et la responsabilité des développeurs : L'insertion volontaire de code malveillant est une violation des principes fondamentaux de la programmation et de la confiance qui lie un employé à son entreprise.

Les entreprises s'inquiètent des menaces internes malveillantes

Si Lu risque 10 ans, Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars.

Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars et purger une période de liberté surveillée de trois ans après sa libération. L'enquête a été menée par les services secrets américains.

En décembre 2020, un ancien ingénieur de Cisco a été condamné à 24 mois derrière les barreaux après avoir causé des millions de dollars de dommages et de pertes pour la firme. Il aurait accédé illégalement à l'infrastructure cloud de Cisco en septembre 2018, déployant un code qui supprimait 456 machines virtuelles prenant en charge l'application WebEx Teams pour les clients.

En 2021, Levi Delgado, résident du Delaware et ancien administrateur informatique, a supprimé les comptes utilisateurs des employés et les serveurs de fichiers du centre médical dans lequel il travaillait auparavant.

Plus de la moitié des entreprises britanniques s'inquiètent des menaces internes malveillantes, selon une étude de Cifas datant de février 2024, qui cite des facteurs contributifs tels que le coût élevé de la vie et le travail à distance, qui peuvent permettre à des actes répréhensibles de passer inaperçus.

Vers un renforcement des mesures de cybersécurité

Suite à cette affaire, de nombreuses entreprises pourraient revoir leurs protocoles de cybersécurité pour prévenir de tels incidents. Des solutions telles que l’automatisation de la révocation des accès, la surveillance accrue des activités suspectes et les audits de code réguliers pourraient devenir des normes renforcées dans l’industrie.

Alors que le développeur prépare son appel, l’industrie technologique prend note de cette affaire comme un avertissement : la cybersécurité ne se limite pas aux menaces extérieures, mais inclut aussi les risques internes liés aux employés mécontents. Ce genre de cas pourrait bien marquer un tournant dans la manière dont les entreprises gèrent la sécurité de leurs infrastructures et la confiance qu'elles accordent à leurs ingénieurs.

Sources : ministère de la Justice, juge Barker, Cifas

Et vous ?

Quelle devrait être la sanction idéale pour ce type de sabotage informatique ? Une peine de prison est-elle justifiée ou disproportionnée ?

Faut-il imposer des audits réguliers de code pour détecter d’éventuels "kill switches" ou autres mécanismes malveillants ?

Quels facteurs psychologiques ou professionnels poussent certains développeurs à insérer du code malveillant après un licenciement ?

Ce genre d’affaire nuit-il à l’image des développeurs et à la confiance que les entreprises leur accordent ?

Un employeur ayant un historique de mauvais traitements envers ses employés devrait-il être tenu partiellement responsable de ce genre d’incident ?

Cette affaire pourrait-elle pousser les législateurs à adopter de nouvelles lois sur la cybersécurité et la gestion des accès des employés ?

Les entreprises devraient-elles être légalement obligées de signaler publiquement les sabotages internes pour alerter les autres acteurs du marché ?

[verdesroches]

Le fait qu'un tel code arrive en production sur un outil visiblement critique pour le business démontre surtout l'absence de processus de revue de code ou la défaillance totale de ce processus...

[RenarddeFeu]

Il aurait mieux fait d'installer un ransomware, de quoi gonfler ses indemnités de licenciement.

[Escapetiger]

Les RPP c'est pas pour les chiens...

Je suppose que RPP veut dire Revue Périodique de Programme ou bien quelque chose en ce sens (acronyme précis non trouvé sur la toile).

On peut aussi supposer que l'entreprise a adopté une démarche de type Devops avec des pratiques de développement et de déploiement continu (cf. CI/CD). Et il arrive parfois que les garde-fous ne soient pas respectés, souvent pour faire des économies de personnel, de finance, pour aller plus vite, etc.

Manifestement, pas non plus de politique RSSI digne de ce nom...

Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité du système d'information et assure la disponibilité, l'intégrité, la confidentialité des données et la traçabilité...

[smarties]

Solution radicale, faire comme les licenciements de traders : annoncer avec effet immédiat le licenciement. La personne récupère ses affaires et quitte la société dans la foulée (accompagnée d'un vigile durant tout le processus) et la société paie toutes les indemnités liées (chômage, mois non travaillés) car les risques financiers sont trop gros.

[ALAIN-COGET]

Ceusses là qui préconisent un virement par vigiles immédiat ?
Le virus est dormant et ne s'active que quand on supprime le compte du viré.
Alors faudrait un vigile super balèze en informatique.

[smarties]

Ceusses là qui préconisent un virement par vigiles immédiat ?

Oui, vu les millions/milliards que ça brasse.
En plus dans ce milieu là, si la personne se savait virée il y aurait plusieurs problèmes :
- elle ne ferait plus son travail comme d'habitude (argent "joué" moins important, plus de prise de risque, ...)
- s'il y a de la perte, l'employeur pourrait chercher à la tenir responsable
- la personne pourrait se venger

Les parents dont leur fils est tradeur m'ont raconté qu'il y avait 1 ou 2 jours de licenciement par an. Tout le monde le sais, est au bureau et à préparer son carton avant avec ses affaires et ceux dont leur nom est appelé doivent partir.

Transposé à l'informatique c'est extrême. En plus s'il part à la retraite et qu'il oublie son virus ça va craindre.