Discussion :

[Stéphane le calme]

Un développeur condamné pour avoir activé un code « Kill Switch » lors de son licenciement,
il risque 10 ans de prison après avoir saboté les systèmes informatiques de son employeur et supprimé des données

Dans une affaire qui met en lumière les risques posés par des employés mécontents dans le domaine technologique, un développeur de logiciels a été reconnu coupable d’avoir inséré un "kill switch", un code malveillant destiné à saboter le système de son ancien employeur après son licenciement. Bien que l’accusé ait admis les faits, il prévoit de faire appel, soulevant des débats sur la justice, la cybersécurité et l’éthique professionnelle.

Un développeur de logiciels de 55 ans risque jusqu'à 10 ans de prison pour avoir déployé un code malveillant qui a saboté le réseau de son ancien employeur, ce qui aurait entraîné des centaines de milliers de dollars de pertes. Le ministère américain de la justice a annoncé vendredi que Davis Lu avait été condamné par un jury pour avoir « causé des dommages intentionnels à des ordinateurs protégés » qui appartiendraient à la société de gestion de l'énergie Eaton Corp, basée dans l'Ohio et à Dublin.

Lu travaillait chez Eaton Corp. depuis environ 11 ans lorsqu'il est apparemment devenu mécontent d'une « réorganisation » de l'entreprise en 2018 qui « a réduit ses responsabilités », a déclaré le ministère de la Justice.

Ses efforts pour saboter leur réseau ont commencé cette année-là, et l'année suivante, il avait implanté différentes formes de codes malveillants, créant des « boucles infinies » qui supprimaient les fichiers de profil des collègues, empêchant les connexions légitimes et provoquant des pannes de système, a expliqué le ministère de la Justice. Dans le but de ralentir ou de ruiner la productivité d'Eaton Corp., Lu a nommé ces codes en utilisant le mot japonais pour la destruction, « Hakai », et le mot chinois pour la léthargie, « HunShui », a déclaré le ministère de la justice.

Mais rien n'était peut-être aussi destructeur que le « kill switch » que Lu avait conçu pour tout arrêter s'il était licencié.

Ce kill switch, selon le DOJ, semblait avoir été créé par Lu car il était nommé « IsDLEnabledinAD », qui est une abréviation apparente de « Is Davis Lu enabled in Active Directory » (Davis Lu est-il activé dans Active Directory). Il s'est également « automatiquement activé » le jour du licenciement de Lu en 2019, a déclaré le ministère de la Justice, perturbant les utilisateurs d'Eaton Corp. dans le monde entier.

Le 4 août 2019, il a introduit un code malveillant qui a provoqué des pannes de système et empêché les utilisateurs de se connecter. Plus précisément, il a créé des « boucles infinies » (dans ce cas, un code conçu pour épuiser les threads Java en créant de manière répétée de nouveaux threads sans les terminer correctement, ce qui entraîne des pannes ou des blocages du serveur), supprimé les fichiers de profil des collègues et mis en œuvre un « kill switch » qui verrouillerait tous les utilisateurs si ses informations d'identification dans l'annuaire actif de l'entreprise étaient désactivées. Le code « kill switch » - que Lu a nommé « IsDLEnabledinAD », abréviation de « Is Davis Lu enabled in Active Directory » - a été automatiquement activé lors de son licenciement le 9 septembre 2019 et a eu un impact sur des milliers d'utilisateurs de l'entreprise dans le monde entier. Lu a nommé d'autres codes « Hakai », un mot japonais signifiant « destruction », et « HunShui », un mot chinois signifiant « sommeil » ou « léthargie ». En outre, le jour où on lui a demandé de rendre son ordinateur portable de fonction, Lu a supprimé des données chiffrées. L'historique de ses recherches sur Internet a révélé qu'il avait recherché des méthodes permettant d'élever les privilèges, de cacher des processus et de supprimer rapidement des fichiers, ce qui indique qu'il avait l'intention d'entraver les efforts de ses collègues pour résoudre les perturbations du système. L'employeur de Lu a subi des centaines de milliers de dollars de pertes à la suite des actions de Lu.

Un acte de sabotage prémédité

Eaton Corp. a découvert le code malveillant en essayant de mettre fin à la boucle infinie qui provoquait la panne des systèmes. Ils se sont rapidement rendu compte que le code était exécuté à partir d'un ordinateur utilisant l'identifiant de Lu, selon un document déposé au tribunal, et fonctionnant sur un serveur auquel seul Lu, en tant que développeur de logiciels, avait accès. Sur ce même serveur, d'autres codes malveillants ont été découverts, notamment le code supprimant les données du profil de l'utilisateur et activant le bouton « kill switch » (interrupteur de mise à mort).

En outre, le ministère de la justice a fouillé dans l'historique des recherches de Lu et a trouvé des preuves « qu'il avait recherché des méthodes pour escalader les privilèges, cacher des processus et supprimer rapidement des fichiers, ce qui indique une intention d'entraver les efforts de ses collègues pour résoudre les perturbations du système ».

« Malheureusement, Davis Lu a utilisé sa formation, son expérience et ses compétences pour nuire et entraver non seulement son employeur et sa capacité à mener ses activités en toute sécurité, mais aussi pour étouffer des milliers d'utilisateurs dans le monde entier », a déclaré Greg Nelsen, agent spécial en charge du FBI, dans un communiqué.

Un verdict que son avocat estime être sévère tandis qu'il prépare un appel

Selon le dossier, Lu a admis auprès des enquêteurs qu'il avait créé le code provoquant des « boucles infinies ». Mais il est « déçu » par le verdict du jury étant donné qu'il risque une peine allant jusqu'à 10 ans de prison, une sanction exemplaire qui vise à dissuader toute tentative similaire dans le futur.

Son avocat, Ian Friedman, a déclaré qu'il prévoit de faire appel : « M. Davis et ses partisans croient en son innocence, et cette affaire sera examinée en appel ».

La date de la sentence n'a pas encore été fixée, a indiqué le ministère de la justice.

Ce cas met en évidence plusieurs enjeux majeurs en matière de cybersécurité et d’éthique professionnelle :

• La gestion des accès après un licenciement : Les entreprises doivent s'assurer qu'un employé licencié ne puisse plus accéder aux systèmes informatiques immédiatement après son départ.
• Les risques posés par les développeurs ayant un accès critique : Lorsqu'un employé possède des autorisations privilégiées, il devient un facteur de risque en cas de conflit.
• L’éthique et la responsabilité des développeurs : L'insertion volontaire de code malveillant est une violation des principes fondamentaux de la programmation et de la confiance qui lie un employé à son entreprise.

Les entreprises s'inquiètent des menaces internes malveillantes

Si Lu risque 10 ans, Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars.

Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars et purger une période de liberté surveillée de trois ans après sa libération. L'enquête a été menée par les services secrets américains.

En décembre 2020, un ancien ingénieur de Cisco a été condamné à 24 mois derrière les barreaux après avoir causé des millions de dollars de dommages et de pertes pour la firme. Il aurait accédé illégalement à l'infrastructure cloud de Cisco en septembre 2018, déployant un code qui supprimait 456 machines virtuelles prenant en charge l'application WebEx Teams pour les clients.

En 2021, Levi Delgado, résident du Delaware et ancien administrateur informatique, a supprimé les comptes utilisateurs des employés et les serveurs de fichiers du centre médical dans lequel il travaillait auparavant.

Plus de la moitié des entreprises britanniques s'inquiètent des menaces internes malveillantes, selon une étude de Cifas datant de février 2024, qui cite des facteurs contributifs tels que le coût élevé de la vie et le travail à distance, qui peuvent permettre à des actes répréhensibles de passer inaperçus.

Vers un renforcement des mesures de cybersécurité

Suite à cette affaire, de nombreuses entreprises pourraient revoir leurs protocoles de cybersécurité pour prévenir de tels incidents. Des solutions telles que l’automatisation de la révocation des accès, la surveillance accrue des activités suspectes et les audits de code réguliers pourraient devenir des normes renforcées dans l’industrie.

Alors que le développeur prépare son appel, l’industrie technologique prend note de cette affaire comme un avertissement : la cybersécurité ne se limite pas aux menaces extérieures, mais inclut aussi les risques internes liés aux employés mécontents. Ce genre de cas pourrait bien marquer un tournant dans la manière dont les entreprises gèrent la sécurité de leurs infrastructures et la confiance qu'elles accordent à leurs ingénieurs.

Sources : ministère de la Justice, juge Barker, Cifas

Et vous ?

Quelle devrait être la sanction idéale pour ce type de sabotage informatique ? Une peine de prison est-elle justifiée ou disproportionnée ?

Faut-il imposer des audits réguliers de code pour détecter d’éventuels "kill switches" ou autres mécanismes malveillants ?

Quels facteurs psychologiques ou professionnels poussent certains développeurs à insérer du code malveillant après un licenciement ?

Ce genre d’affaire nuit-il à l’image des développeurs et à la confiance que les entreprises leur accordent ?

Un employeur ayant un historique de mauvais traitements envers ses employés devrait-il être tenu partiellement responsable de ce genre d’incident ?

Cette affaire pourrait-elle pousser les législateurs à adopter de nouvelles lois sur la cybersécurité et la gestion des accès des employés ?

Les entreprises devraient-elles être légalement obligées de signaler publiquement les sabotages internes pour alerter les autres acteurs du marché ?

[verdesroches]

Le fait qu'un tel code arrive en production sur un outil visiblement critique pour le business démontre surtout l'absence de processus de revue de code ou la défaillance totale de ce processus...

[RenarddeFeu]

Il aurait mieux fait d'installer un ransomware, de quoi gonfler ses indemnités de licenciement.

[Escapetiger]

Les RPP c'est pas pour les chiens...

Je suppose que RPP veut dire Revue Périodique de Programme ou bien quelque chose en ce sens (acronyme précis non trouvé sur la toile).

On peut aussi supposer que l'entreprise a adopté une démarche de type Devops avec des pratiques de développement et de déploiement continu (cf. CI/CD). Et il arrive parfois que les garde-fous ne soient pas respectés, souvent pour faire des économies de personnel, de finance, pour aller plus vite, etc.

Manifestement, pas non plus de politique RSSI digne de ce nom...

Le responsable de la sécurité des systèmes d'information (RSSI ; en anglais, Chief information security officer ou CISO) d'une organisation (entreprise, association ou institution) est l'expert qui garantit la sécurité du système d'information et assure la disponibilité, l'intégrité, la confidentialité des données et la traçabilité...

[smarties]

Solution radicale, faire comme les licenciements de traders : annoncer avec effet immédiat le licenciement. La personne récupère ses affaires et quitte la société dans la foulée (accompagnée d'un vigile durant tout le processus) et la société paie toutes les indemnités liées (chômage, mois non travaillés) car les risques financiers sont trop gros.

[ALAIN-COGET]

Ceusses là qui préconisent un virement par vigiles immédiat ?
Le virus est dormant et ne s'active que quand on supprime le compte du viré.
Alors faudrait un vigile super balèze en informatique.

[smarties]

Ceusses là qui préconisent un virement par vigiles immédiat ?

Oui, vu les millions/milliards que ça brasse.
En plus dans ce milieu là, si la personne se savait virée il y aurait plusieurs problèmes :
- elle ne ferait plus son travail comme d'habitude (argent "joué" moins important, plus de prise de risque, ...)
- s'il y a de la perte, l'employeur pourrait chercher à la tenir responsable
- la personne pourrait se venger

Les parents dont leur fils est tradeur m'ont raconté qu'il y avait 1 ou 2 jours de licenciement par an. Tout le monde le sais, est au bureau et à préparer son carton avant avec ses affaires et ceux dont leur nom est appelé doivent partir.

Transposé à l'informatique c'est extrême. En plus s'il part à la retraite et qu'il oublie son virus ça va craindre.

[Stéphane le calme]

Un développeur écope d'une peine de prison après avoir saboté le réseau de son ancien employeur avec un « kill switch »,
programmé pour bloquer tous les utilisateurs si ses identifiants dans l'annuaire actif de l'entreprise étaient désactivés

Un développeur de logiciels a été reconnu coupable d’avoir inséré un « kill switch » (ou interrupteur de désactivation), un code malveillant destiné à saboter le système de son ancien employeur après son licenciement, ce qui aurait entraîné des centaines de milliers de dollars de pertes. Davis Lu travaillait chez Eaton Corp. depuis environ 11 ans lorsqu'il est apparemment devenu mécontent d'une « réorganisation » de l'entreprise en 2018 qui « a réduit ses responsabilités ». Il risquait 10 ans de prison et a finalement été condamné à quatre ans de prison et trois ans de liberté surveillée pour avoir écrit et déployé un code malveillant sur le réseau de son ancien employeur. Au-delà de l'anecdote, cette affaire est une véritable leçon pour les professionnels de l'IT et les dirigeants d'entreprise, car elle révèle des failles de sécurité qu'il est crucial de corriger.

Davis Lu, 55 ans, développeur basé à Houston, était employé par Eaton Corporation, une entreprise américaine spécialisée dans la gestion de l’énergie. Il y travaillait depuis 2007, jusqu’à une réorganisation interne en 2018 qui l’a mis sur la touche, réduisant ses responsabilités et son accès aux systèmes. Face à ce revers, Lu a planifié sa vengeance de façon minutieuse.

Ses efforts pour saboter leur réseau ont commencé cette année-là, et l'année suivante, il avait implanté différentes formes de codes malveillants, créant des « boucles infinies » qui supprimaient les fichiers de profil des collègues, empêchant les connexions légitimes et provoquant des pannes de système, a expliqué le ministère de la Justice. Dans le but de ralentir ou de ruiner la productivité d'Eaton Corp., Lu a nommé ces codes en utilisant le mot japonais pour la destruction, « Hakai », et le mot chinois pour la léthargie, « HunShui ».

Mais rien n'était peut-être aussi destructeur que le « kill switch » que Lu avait conçu pour tout arrêter s'il était licencié.

Ce kill switch, selon le DOJ, semblait avoir été créé par Lu car il était nommé « IsDLEnabledinAD », qui est une abréviation apparente de « Is Davis Lu enabled in Active Directory » (Davis Lu est-il activé dans Active Directory, un nom beaucoup moins anonyme qu’il ne l’espérait). Lorsque Eaton l’a licencié le 9 septembre 2019, la suppression de son accès a activé le malware, verrouillant les comptes de milliers d’utilisateurs, provoquant des pannes massives et détruisant des données.

Le logiciel était un programme Java qui générait un nombre croissant de threads non terminaux dans une boucle infinie qui finissait par utiliser suffisamment de ressources pour faire planter le serveur.

« Le prévenu a trahi la confiance de son employeur en utilisant son accès et ses connaissances techniques pour saboter les réseaux de l'entreprise, semant le chaos et causant des centaines de milliers de dollars de pertes à une société américaine », a déclaré Matthew R. Galeotti, procureur général adjoint par intérim de la division pénale du ministère de la Justice. « Cependant, les compétences techniques et les subterfuges du prévenu ne l'ont pas sauvé des conséquences de ses actes. La division pénale s'engage à identifier et à poursuivre ceux qui attaquent les entreprises américaines, que ce soit de l'intérieur ou de l'extérieur, afin de les tenir responsables de leurs actes. »

Lorsque Lu a dû rendre son ordinateur portable professionnel, il s'est avéré qu'il l'avait utilisé pour mettre son plan à exécution. Son historique de recherche montrait qu'il avait cherché comment supprimer des données, étendre ses privilèges et dissimuler ses traces. Il avait également supprimé une grande partie des données chiffrées. Tout indiquait que ses actes étaient prémédités et préparés longuement.

Verdict et conséquences juridiques

Moins d'un mois après l'exécution de son logiciel malveillant, les agents fédéraux ont arrêté Lu. Il a reconnu son crime, mais a tout de même opté pour un procès devant jury. Une enquête a été ouverte, menée notamment par le FBI. Un jury fédéral à Cleveland a reconnu Lu coupable « d'atteinte intentionnelle à des ordinateurs protégés ». Il encourait jusqu’à 10 ans de prison. Mais jeudi, il a finalement été condamné à quatre ans d’emprisonnement, suivis de trois ans de liberté surveillée.

« Le FBI travaille sans relâche chaque jour pour s'assurer que les cybercriminels qui déploient des codes malveillants et nuisent aux entreprises américaines subissent les conséquences de leurs actes », a déclaré Brett Leatherman, directeur adjoint de la division cybercriminalité du FBI. « Je suis fier du travail de l'équipe cyber du FBI qui a conduit à la condamnation d'aujourd'hui et j'espère que cela enverra un message fort à ceux qui pourraient envisager de se livrer à des activités illégales similaires. Cette affaire souligne également l'importance d'identifier rapidement les menaces internes et met en évidence la nécessité d'une collaboration proactive avec votre bureau local du FBI afin d'atténuer les risques et de prévenir d'autres dommages. »

Les entreprises s'inquiètent des menaces internes malveillantes

Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars.

Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars et purger une période de liberté surveillée de trois ans après sa libération. L'enquête a été menée par les services secrets américains.

En décembre 2020, un ancien ingénieur de Cisco a été condamné à 24 mois derrière les barreaux après avoir causé des millions de dollars de dommages et de pertes pour la firme. Il aurait accédé illégalement à l'infrastructure cloud de Cisco en septembre 2018, déployant un code qui supprimait 456 machines virtuelles prenant en charge l'application WebEx Teams pour les clients.

En 2021, Levi Delgado, résident du Delaware et ancien administrateur informatique, a supprimé les comptes utilisateurs des employés et les serveurs de fichiers du centre médical dans lequel il travaillait auparavant.

Plus de la moitié des entreprises britanniques s'inquiètent des menaces internes malveillantes, selon une étude de Cifas datant de février 2024, qui cite des facteurs contributifs tels que le coût élevé de la vie et le travail à distance, qui peuvent permettre à des actes répréhensibles de passer inaperçus.

Conclusion : enjeux techniques et sécurité à retenir

Cette affaire, au-delà de sa dimension criminelle, est un rappel sévère des principes de sécurité informatique que nous, professionnels, devons appliquer au quotidien.

• Gestion des accès et des identités (IAM) : La première leçon est de mettre en place une politique d'IAM rigoureuse. Dès qu'un employé quitte l'entreprise, tous ses accès (comptes, VPN, etc.) doivent être révoqués immédiatement. Dans ce cas, les accès persistants ont permis au développeur de lancer son attaque à distance.
• Audits de code et revue par les pairs : Dans les équipes de développement, il est crucial d'instaurer des processus de revue de code et d'audits réguliers. Cela permet non seulement d'améliorer la qualité du code, mais aussi de détecter des backdoors, des codes malveillants ou des vulnérabilités avant qu'elles ne soient déployées.
• Surveillance des logs : Il est vital de surveiller les logs de connexion, d'activité et de modification sur les serveurs critiques. Un système d'alerte aurait pu signaler les actions suspectes de l'employé avant qu'il ne soit trop tard.
• La sécurité, ce n'est pas que du code : La sécurité est aussi une question de gestion des ressources humaines et de culture d'entreprise. Gérer les conflits et les départs de manière professionnelle et respectueuse est essentiel pour minimiser les risques.

L’affaire Davis Lu peut servir de cas d’école sur l’insider threat, un des risques les plus difficiles à anticiper pour les équipes de sécurité. Le plan était techniquement astucieux, mais maladroit dans son exécution (le nom du kill switch en dit long sur l’échec opérationnel). La justice a lourdement sanctionné ce sabotage. En guise de morale : la dématérialisation et la confiance en personne ne suffisent pas. Les politiques d’offboarding, de revocation d’accès, de restructuration de rôles (et même les conventions de dénomination des scripts) méritent une attention aussi rigoureuse que la sécurité périmétrique.

Source : ministère de la justice

Et vous ?

Quelles pratiques de code review et d’audit interne auraient pu permettre de détecter plus tôt la présence du « kill switch » ?

Comment mettre en place un offboarding sécurisé pour éviter qu’un employé sortant ne puisse déclencher ce genre d’attaque ?

Comment gérer la frustration ou le ressentiment des employés après une restructuration ou une perte de responsabilités ?

Quelles devraient être les peines maximales pour un employé qui sabote volontairement son entreprise : la prison, les amendes, ou une interdiction professionnelle ?

Les lois actuelles sur la cybercriminalité couvrent-elles suffisamment les menaces internes par rapport aux attaques extérieures (hackers, ransomware, etc.) ?

[eomer212]

une chose que ces 'boites' américaines devraient un jour aborder quand même. c'est que quand tu traites les gens comme de la merde, pire que des animaux, faut pas s'étonner qu'à un moment ils mettent en œuvre des moyens pour se venger.
c'est normal. la seule erreur de ce monsieur, c'est sans doute de n'avoir pas été assez compétent ou soigneux pour effacer ses traces et ses recherches. parce que la, quand même, c'est calamiteux. mais en même temps, il peux arguer qu'il s'agit d'un problème qu'il a du traiter pour autre chose. etant donné que personnellement, j'ai aussi du traiter ce probleme de montée de privilége. à un moment donné, il est nécessaire de faire des choses que le système , par défaut, t'interdit de faire dans un contexte donné. donc, non seulement, il est pas bien malin , mais en plus son avocat devait être bien calamiteux lui aussi.. mauvaise attaque, mauvaise défense, le pov garcon a vraiment foiré.. le crime est une division ou tu ne peux pas être moyen, ou juste bon. HA, en passant, le curseur souris qui devient blanc pour qu'on ne puisse plus le voir et en chier pour saisir ou corriger quoi que ce soit, quel est l'abruti qui a cru que ca pourrait être une fonctionnalité??