Un développeur a été condamné à quatre ans de prison pour avoir saboté le réseau de son ancien employeur. Il avait mis en place un logiciel malveillant, incluant un “kill switch” qui s’est activé le jour où son propre compte a été désactivé, paralysant l’activité de l’entreprise.
Une vengeance suite à une rétrogradation
L’affaire concerne Davis Lu, un développeur de 55 ans qui travaillait pour une entreprise basée en Ohio aux États-Unis (identifiée comme étant Eaton Corporation) depuis 2007. Suite à une restructuration interne en 2018, M. Lu a été rétrogradé à un autre poste. Selon le Département de la Justice américain, c’est cet événement qui aurait déclenché son désir de vengeance.
Il a ensuite profité des accès dont il disposait, et de ses privilèges, pour dissimuler du code malveillant sur l’environnement de production Windows basé sur un Active Directory. Son objectif : causer un maximum de dégât le jour où il quitterait l’entreprise. Pour cela, il a mis en place :
Une boucle infinie Java : un script conçu pour surcharger les serveurs de l’entreprise jusqu’à leur plantage complet.
Un “kill switch” : nommé “IsDLEnabledinAD” (signifiant en français “Davis Lu est-il activé dans l’Active Directory”) et directement lié à l’état de son propre compte utilisateur. Si son compte venait à être désactivé dans l’annuaire Active Directory, le script se lancerait automatiquement pour verrouiller tous les comptes et surcharger les serveurs.
Le 9 septembre 2019, jour de son licenciement, les services de l’entreprise ont été fortement perturbés. En effet, lorsque les administrateurs ont, comme le veut la procédure, désactivé son compte, le “kill switch” est entré en action ! Des milliers d’employés se sont retrouvés dans l’impossibilité d’accéder à leur session et aux ressources du réseau.
Un acte puni par 4 ans de prison
Les enquêteurs ont rapidement suspecté un acte de malveillance interne… Lorsqu’il lui a été demandé de restituer son ordinateur portable, Davis Lu a pris soin de supprimer des données chiffrées de l’appareil pour brouiller les pistes. Cependant, une analyse approfondie de sa machine a révélé des informations intéressantes : il avait recherché sur le Web comment cacher des processus en cours d’exécution et de supprimer rapidement des fichiers.
“L’accusé a trahi la confiance de son employeur en utilisant son accès et ses connaissances techniques pour saboter les réseaux de l’entreprise, provoquant des ravages et des centaines de milliers de dollars de pertes pour une société américaine.”, a déclaré le procureur général adjoint par intérim, Matthew R. Galeotti.
Reconnu coupable, Davis Lu a été condamné à une peine de quatre ans de prison ferme. À sa sortie, il sera soumis à une période de trois ans de liberté surveillée.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.