Discussion :

[Stéphane le calme]

Deux frères effacent 96 bases de données gouvernementales dans les minutes qui suivent leur licenciement,
puis demandent à une IA comment effacer leurs traces pour dissimuler le sabotage

En 2026, les vagues de licenciements massifs dans la tech, plus de 120 000 postes supprimés depuis janvier, posent une question que l'industrie préfère souvent taire : que se passe-t-il quand un administrateur systèmes ou un développeur congédié garde rancœur, et surtout, garde ses accès ? Retour sur une série de cas judiciaires édifiants qui illustrent l'une des menaces internes les plus redoutées de la cybersécurité, et sur les leçons que les entreprises refusent encore d'en tirer.

Le secteur technologique traverse une période de restructuration sans précédent. Depuis le début de l'année 2026, plus de 92 000 postes ont été supprimés dans la tech, avec un mois d'avril qui s'est révélé être le pire en presque deux ans, affectant à lui seul 45 000 travailleurs. Selon le cabinet Challenger, Gray & Christmas, l'IA est désormais citée comme la principale cause de ces suppressions d'emplois, représentant 26 % des licenciements d'avril, soit deux mois consécutifs où l'automatisation est invoquée comme moteur premier des coupes.

Dans ce climat de tension, une catégorie de professionnels se retrouve dans une position particulièrement délicate : les administrateurs systèmes, les développeurs seniors et les ingénieurs DevOps. Ces profils disposent, par nature de leurs fonctions, d'un accès privilégié à des infrastructures critiques. Lorsque la rupture du contrat de travail se passe mal (ou simplement très vite), la question de la révocation effective et immédiate de ces accès devient une question de sécurité nationale, pas seulement d'hygiène RH.

56 minutes pour effacer 96 bases de données fédérales

Le cas le plus retentissant de ces derniers mois illustre à quel point cette fenêtre d'accès post-licenciement peut être dévastatrice. Sohaib Akhter et son frère jumeau Muneeb ont été licenciés le 18 février 2025 de leur entreprise basée à Washington D.C., qui desservait plus de 45 agences fédérales américaines. En 56 minutes à peine, ils ont effacé 96 bases de données gouvernementales contenant des informations sensibles.

Un jury fédéral a condamné Sohaib Akhter le 8 mai 2026. La destruction a débuté presque immédiatement après le licenciement : au moment où l'employeur découvrait une condamnation pénale antérieure non déclarée lors de la réunion de fin de contrat par visioconférence, Muneeb disposait encore d'un accès actif aux systèmes hébergés à Ashburn, en Virginie. Il a mis à profit ces précieuses minutes pour protéger en écriture puis supprimer méthodiquement des bases contenant des données de production du Département de la Sécurité Intérieure, des dossiers de demandes d'accès à l'information (FOIA) et des systèmes de gestion des affaires judiciaires. Les dommages incluent également le vol de données personnelles d'environ 450 individus issus de systèmes de l'IRS, ainsi que la copie de 1 805 fichiers de l'EEOC sur des clés USB.

Ce qui rend l'affaire encore plus troublante : les deux frères avaient déjà plaidé coupables en 2015 pour fraude électronique et accès non autorisé à des systèmes du Département d'État, Sohaib purgeant deux ans de prison et Muneeb plus de trois. Ils avaient pourtant réintégré des postes nécessitant des autorisations de sécurité et un accès privilégié à des bases de données fédérales. La question du contrôle des antécédents des prestataires reste entière. Sohaib Akhter fait face à une peine maximale de 21 ans de prison lors de sa mise en examen prévue le 9 septembre 2026, tandis que son frère risque jusqu'à 45 ans pour plusieurs chefs de fraude informatique, conspiration, vol de données gouvernementales et usurpation d'identité aggravée.

Un détail technique glaçant : pour effacer leurs traces, les frères Akhter ont interrogé une IA générative pour obtenir des instructions sur la manière d'effacer les journaux SQL Server et Windows, consultant littéralement un assistant IA pour savoir comment dissimuler un crime informatique.

La bombe logique du développeur floué

Ce cas extrême n'est pas isolé. En août 2025, un tribunal fédéral de l'Ohio a rendu une décision dans une affaire aux mécanismes tout aussi sophistiqués, celle de Davis Lu, développeur senior chez Eaton Corporation, un fabricant américain de systèmes de gestion de l'énergie.

En 2018, une réorganisation interne avait rétrogradé Lu, lui retirant une partie de ses responsabilités et de ses accès. En réponse, il a commencé en 2019 à saboter les systèmes de son employeur de l'intérieur en y cachant des routines malveillantes. La première consistait en une boucle infinie déclenchée le 4 août, forçant les machines virtuelles Java à générer des threads en continu jusqu'à épuiser les ressources et crasher les serveurs de production.

La seconde attaque, plus insidieuse, consistait en une routine qui interrogeait en permanence l'annuaire Active Directory de l'entreprise pour vérifier si le compte de Lu était toujours actif. Le jour où l'accès réseau de Lu a été suspendu (le 9 septembre 2019, lors de son licenciement effectif), un code de type « kill switch » s'est automatiquement déclenché et a supprimé les profils AD d'autres employés, les verrouillant hors du réseau.

L'enquête a révélé un détail savoureux dans sa candeur : Lu avait nommé son kill switch « IsDLEnabledinAD », abréviation transparente de « Is Davis Lu enabled in Active Directory ? ». Ses recherches sur Internet montraient également qu'il s'était documenté sur des méthodes pour escalader ses privilèges, dissimuler des processus et supprimer des fichiers en masse. Lu a été condamné à quatre ans de prison. Selon le département américain de la Justice, il avait « trahi la confiance de son employeur en utilisant ses compétences pour saboter les réseaux de l'entreprise, causant des centaines de milliers de dollars de pertes ».

Un phénomène structurel, pas des cas isolés

Ces affaires s'inscrivent dans une longue série de précédents documentés. En 2020, Sudhish Kasaba Ramesh, ancien employé de Cisco, avait plaidé coupable pour avoir endommagé l'infrastructure cloud interne de Cisco, forçant l'entreprise à débourser 1,4 million de dollars en mesures correctives et à rembourser 1 million de dollars à des clients affectés. La même année, Nickolas Sharp, administrateur chez Ubiquiti Networks, avait volé des données confidentielles, tenté d'en imputer la responsabilité à d'autres employés, puis extorqué deux millions de dollars à son entreprise, tout en participant officiellement à la remédiation de l'incident, avant d'être condamné à six ans de prison.

Aux États-Unis, le Computer Fraud and Abuse Act (CFAA) encadre ce type de comportement : il est illégal de transmettre délibérément un programme, une information ou une commande qui cause des dommages à un système informatique sans autorisation. Un employé en colère qui supprime des fichiers critiques de son employeur ou qui lance des attaques contre ses serveurs tombe sous le coup de cette loi fédérale, et peut se retrouver en prison fédérale.

Ce que ces cas révèlent sur les failles systémiques

Au-delà de l'aspect pénal, ces affaires pointent des défaillances organisationnelles que la pression des vagues de licenciements en cours ne fait qu'aggraver.
La révocation des accès est rarement instantanée. Dans le cas des frères Akhter, Muneeb disposait encore d'un accès opérationnel au moment où son frère était en train d'être licencié par visioconférence. Ce délai de quelques dizaines de minutes a suffi pour effacer l'équivalent de mois de travail sur 96 bases de données. Les procédures de révocation des accès, idéalement automatisées et atomiques, restent un angle mort dans de nombreuses organisations.

La séparation des privilèges est insuffisante. Dans le cas de Davis Lu, un développeur sénior disposait d'un accès suffisant pour déployer du code malveillant en production sans que cela ne soit détecté avant que les dégâts ne se manifestent. Le principe du moindre privilège (least privilege), pourtant fondamental en sécurité des systèmes d'information, reste souvent une aspiration théorique dans les environnements où la rapidité de développement prime.

Le contrôle des antécédents des prestataires est défaillant. L'affaire Akhter pose une question particulièrement embarrassante pour l'écosystème des sous-traitants fédéraux : comment deux individus ayant des antécédents pénaux spécifiquement liés à des intrusions informatiques dans des systèmes gouvernementaux ont-ils pu être recrutés dans des rôles leur donnant accès à des dizaines d'agences fédérales ? L'inspectrice générale du FDIC-OIG, Jennifer L. Fain, a qualifié leurs actes de « mépris flagrant pour la sécurité et l'intégrité des systèmes d'information fédéraux ».

L'IA devient un outil de couverture. La tentative des frères Akhter d'utiliser une IA générative pour apprendre à effacer des journaux système est un signal préoccupant. Si l'IA démocratise l'accès à des techniques offensives pour des acteurs peu expérimentés, elle crée aussi de nouveaux vecteurs dans les scénarios de menace interne.

La menace interne à l'heure des licenciements massifs

Selon Matthew Baden, directeur chez The Search Experience, environ 20 % seulement des licenciements tech de 2026 sont directement liés à des gains d'efficacité liés à l'IA ; le reste relève largement d'une correction post-pandémie et d'une optimisation budgétaire classique, souvent rebaptisée « restructuration IA » pour des raisons d'image boursière. En d'autres termes, des dizaines de milliers d'informaticiens se retrouvent sur le carreau pour des raisons que leurs employeurs préfèrent maquiller, une circonstance qui n'est pas de nature à favoriser une séparation apaisée.

Dans ce contexte, la menace interne (qu'elle soit le fait d'un employé encore en poste ou d'un ancien qui conserve des accès) s'impose comme l'un des risques cybersécurité les plus sous-estimés de l'année. Les attaques externes font la une ; les destructions venues de l'intérieur, elles, se règlent discrètement devant les tribunaux, longtemps après que les dégâts sont consommés.

Les équipes sécurité et RH n'ont pas besoin d'attendre la prochaine vague de suppressions de postes pour agir : audits des comptes à privilèges, procédures de révocation automatisée, journalisation immuable des accès administrateurs, et revue régulière des habilitations sont des mesures connues depuis vingt ans. Le problème n'est pas la méconnaissance des bonnes pratiques, c'est leur non-application systématique, dans des organisations où la pression sur les délais et la confiance implicite accordée aux équipes techniques ont longtemps prévalu sur la rigueur des contrôles.

Sources : Communiqué officiel du DOJ, Tad Nelson & Associates

Et vous ?

Dans votre organisation, la révocation des accès lors d'un licenciement est-elle instantanée et automatisée, ou repose-t-elle encore sur une checklist manuelle ? Quel est le délai réel entre la notification et la désactivation effective des comptes à privilèges ?

Le principe du moindre privilège est-il réellement appliqué dans vos environnements de production, ou les développeurs seniors disposent-ils encore d'accès administrateur « par habitude » ou « pour gagner du temps » ?

Comment concilier la nécessité de contrôler rigoureusement les antécédents des prestataires et sous-traitants avec la pression commerciale qui pousse à déployer rapidement des ressources externes dans des environnements sensibles ?

L'utilisation d'une IA générative pour apprendre à effacer des traces numériques change-t-elle fondamentalement le profil de risque de la menace interne ? Faut-il surveiller les requêtes adressées aux LLMs depuis les réseaux d'entreprise ?

[MisterMoa]

...les frères Akhter...

Quoi ? Les frères hacker ?

[AaâÂäÄàAaâÂäÄàAaâÂäÄ]

En tant que dba, on est un peu tenté de foutre le bazar lorsqu'on est viré.
Cependant, si on veut continuer à travailler en tant que dba, t'es mieux de rester sage, sinon tu peux changer de métier et / ou de pays, parce que ta réputation voyage plus vite que ton cv...
Et être capable de survivre à des poursuites judiciaires, parce que c'est sûr qu'on va finir par trouver des preuves contre toi.

[OuftiBoy]

à toutes et tous,

...que se passera-t-il lorsque ce sera un agent IA qui fera ce genre de chose ? Qui sera responsable ? Le créateur de l'IA, l'utilisateur de l'IA, ou celui qui a imposé son utilisation ? Peut-être le RH de la boîte, si c'est un sous-traitant qui a commit ce fait (ou le RH du sous-traitant, le sous-traitant lui-même, l'IA, celui qui lui a imposé). Sachant qu'un sous-traitant peut lui-même sous-traiter une partie de ses activités, etc ... Et si c'est dû à une hallucination de l'IA, qui sera responsable des dégâts ? Celui qui n'a pas vu l'hallucination ? et s'il ne l'a pas vue, peut-être le formateur qui a inculqué comment utiliser une IA particulière ? Peut-être le boss de la boîte qui n'a pas formé correctement ses collaborateurs ? Comme l'IA évolue en permanence, faut-il une formation en permanence aux différentes IA, Agent IA, etc ... C'est ingérable.

Bah, ce sera sûrement la personne le plus bas dans cette chaîne, comme d'hab.

BàV et Peace & Love.

[Ti-Slackeux]

que se passera-t-il lorsque ce sera un agent IA qui fera ce genre de chose ?

Ben c'est déjà arrivé >.<

[OuftiBoy]

Ben c'est déjà arrivé >.<

Et qui est responsable "judiciairement" ?

[Artemus24]

Salut à tous.

@ OuftiBoy : dans ce cas, c'est l'entreprise qui est responsable.

[totozor]

Bah, ce sera sûrement la personne le plus bas dans cette chaîne, comme d'hab.

Mmmh, pour être plus précis c'est le maillon fusible de la chaine, voir un fusible à coté de la chaine.
Le "middle management" sert souvent à séparer les décideurs des opérationnels qui sont les deux maillons "essentiels" de la chaine. Le décideur n'est, en fait, pas plus essentiel que le fusible - qui n'est pas que ça non plus puisqu'il garanti aussi la productivité des opérationnels. Chacun de ces maillons est nécessaire à la solidité de la chaine.

Pour ce qui est de ce fait divers qui semble se produire régulièrement on se focalise toujours sur le délinquant, jamais sur l'entreprise.
Cet acte ressemble beaucoup à une vengeance, qu'a fait l'entreprise pour "mériter" ça?
Un licenciement hardcore?
Des mois de mise au placard?
Etc

Pendant un période je travaillais pour une entreprise très peu respectueuse de son personnel et on savait tous qu'on était jamais à l'abris d'une mise à l'écart improvisée.
Certaines personnes ont passé des années sur une mission et en ont été écartée sans prévenir et sans permettre de partir correctement.
Certaines personnes ont été poussées dans des missions sous pression au retour d'un burn out.
etc.
Bref, à l'époque je "développais" (c'est un bien grand mot) des outils qui amélioraient la productivité de mon équipe. J'avais vérolé chacun de ces outils pour qu'il se mette à ne plus fonctionner après X mois si des paramètres du code n'étaient pas mis à jour.
Ce qui a mené à une grosse crise quelques mois après mon éviction, crise qui serait passée facilement s'ils n'avaient pas vidé l'équipe de toute sa connaissance du secteur.
Ce n'est pas réglo, c'est même potentiellement grave mais je trouve que c'est une réponse équilibrée face à notre traitement.

J'ai vécu un licenciement très dur pour mon premier boulot, je l'ai très mal vécu parce qu'on ne peut pas bien vivre ce genre d'évènement mais il n'empêche que j'ai été traité dignement à ce moment. Et ça change tout.