La cybersécurité est souvent perçue comme une course contre les menaces externes : hackers, cybercriminels, groupes de cyberespionnage, etc. Pourtant, certaines des attaques les plus destructrices viennent de l’intérieur, c'est-à-dire des employés eux-mêmes. L’affaire de sabotage informatique au sein de l’entreprise Eaton Corp en est une parfaite illustration.

Un employé frustré qui passe à l'action

Davis Lu, un ancien employé de la société Eaton Corp, a été reconnu coupable d’avoir saboté les systèmes informatiques de l’entreprise après avoir été démotié. Après 12 ans de service, dont 10 en tant que développeur, il était monté en grade pour devenir développeur senior sur un des nouveaux systèmes de l'entreprise. Cependant, après une restructuration interne, il a perdu ce statut tout en continuant à travailler sur le même projet.

Plutôt que d’accepter la situation, il a rapidement préparé sa revanche. En seulement trois jours, il a inséré du code malveillant dans le système, créant une boucle infinie qui générait continuellement de nouveaux threads sans jamais les terminer. Conséquence ? L’épuisement des ressources du serveur, provoquant une panne généralisée et un véritable déni de service (DoS) interne.

Une attaque mal dissimulée

Le sabotage a commencé à se manifester en moins d’une semaine, ce qui a rapidement attiré l’attention des responsables techniques de l’entreprise. En enquêtant sur l’incident, ils ont remarqué que la mise à jour défaillante provenait du compte utilisateur de Davis Lu et avait été déployée depuis son propre ordinateur.

Pire encore, il était le seul à avoir accès au serveur de développement situé au Kentucky. Il n’a pas seulement implanté du code malveillant, il a également supprimé des profils de collègues et mis en place un "dead man switch" dans l’Active Directory de l’entreprise. Ce système verrouillait automatiquement l’accès de tous les employés si ses propres identifiants étaient supprimés. Un véritable coup de maître… si ce n’est que son exécution était loin d’être discrète.

Le "kill switch" – baptisé DL_enabled_in_AD (Davis Lu enabled in Active Directory) – a affecté des milliers d’utilisateurs à travers le monde et engendré des pertes estimées à plusieurs centaines de milliers de dollars pour l’entreprise.

Des noms de programmes évocateurs

Si ce premier acte de sabotage était déjà grave, Davis Lu ne s’est pas arrêté là. Il a déployé deux autres programmes malveillants aux noms très parlants : Hakai ("destruction" en japonais) et HunShui ("sommeil" en chinois). Bien que les documents judiciaires ne détaillent pas leurs effets, on soupçonne que Hakai était une variante du botnet Mirai exploitant une faille de ThinkPHP.

En plus de cela, les historiques de recherche de Lu montraient qu'il s'était renseigné sur diverses techniques de hacking, comme l’escalade de privilèges, la suppression massive de fichiers et la dissimulation de processus.

Un sabotage mal préparé

Comparons cette attaque à celle du projet XZ, où des cybercriminels ont infiltré un projet open-source sur plusieurs années avant d’insérer discrètement un backdoor. Contrairement à ces attaquants organisés, Davis Lu a commis plusieurs erreurs qui ont rapidement mené à son arrestation :

1. Il a signé ses attaques : Utiliser son propre identifiant et nommer son script avec ses initiales est une erreur de débutant.
2. Il a agit trop vite : Un bon sabotage informatique prend du temps. Il aurait pu créer un ralentissement progressif ou rendre le code de plus en plus obscur.
3. Il a fait ses recherches sur un appareil surveillé : Les entreprises enregistrent souvent toutes les activités réalisées sur leurs machines. Se documenter sur des techniques de hacking sur son propre ordinateur professionnel était une faute évidente.
4. Il n'a pas effacé correctement ses traces : Même s'il a tenté d'effacer les volumes chiffrés de son ordinateur après son licenciement, les logs conservés sur les serveurs de l'entreprise l'ont trahi.

Les conséquences judiciaires

Arrêté et jugé, Davis Lu a été reconnu coupable et encourt jusqu’à 10 ans de prison. Il aurait pu éviter cette peine en acceptant un plaider-coupable, mais il a choisi de se battre en justice. Malheureusement, face aux preuves écrasantes, sa condamnation était inévitable.

Cette histoire met en lumière un point essentiel en cybersécurité : les menaces internes sont souvent sous-estimées. Un employé frustré, doté de connaissances techniques, peut causer bien plus de dégâts qu'une attaque externe. Le cas de Davis Lu est loin d’être isolé. Il illustre parfaitement comment un employé mécontent peut exploiter son accès aux systèmes. Mais quels sont les autres types de menaces internes ?

Les menaces internes : un danger omniprésent dans le monde de l’IT

Qu’est-ce qu’une menace interne ?

Une menace interne peut prendre plusieurs formes :

• Un employé mécontent qui cherche à se venger après un licenciement ou une rétrogradation (comme Davis Lu dans notre histoire).
• Un employé négligent qui, par accident, laisse fuiter des informations sensibles ou installe un logiciel malveillant sans le savoir.
• Un espion industriel qui profite de son accès aux données pour les revendre à un concurrent.
• Un administrateur système corrompu qui abuse de ses privilèges pour monnayer des accès ou exfiltrer des données confidentielles.

Contrairement aux cybercriminels externes, ces individus n’ont pas besoin de forcer la porte : ils ont déjà la clé. Ils connaissent les systèmes, les procédures, et parfois même les failles internes que personne d’autre ne peut exploiter.

L'impact des menaces internes

Les attaques internes peuvent être bien plus coûteuses que les cyberattaques classiques. Selon une étude de Ponemon Institute, les menaces internes coûtent en moyenne plus de 11 millions de dollars par an aux entreprises, un chiffre en constante augmentation. L’une des raisons est simple : ces attaques sont plus difficiles à détecter et souvent plus dévastatrices.

Prenons une analogie : imaginez une banque ultra-sécurisée avec des portes blindées et des caméras partout. Maintenant, imaginez que le voleur soit en fait un employé qui a accès à la salle des coffres et qui sait comment désactiver l’alarme. C’est exactement ce qui se passe avec les menaces internes dans l’IT.

Une attaque bien menée par un employé malveillant peut :

• Paralyser les systèmes et causer des pertes financières directes (pannes, ransomwares internes, sabotage de bases de données).
• Voler des informations sensibles et exposer des données clients ou des secrets industriels.
• Compromettre la réputation de l’entreprise, ce qui peut avoir des conséquences bien plus graves à long terme.

Des cas célèbres de menaces interne

L’histoire de Davis Lu n’est pas un cas isolé. Voici quelques exemples célèbres :

🔴 Tesla (2023) : Fuite massive de données par deux anciens employésDeux ex-employés de Tesla ont divulgué à un média étranger les informations personnelles de plus de 75 000 employés, ainsi que des secrets de fabrication et des données bancaires clients. L’impact sur la réputation de Tesla a été significatif.

🔴 Yahoo (2022) : Un employé vole des secrets industriels avant de rejoindre un concurrent
Quelques minutes après avoir reçu une offre d’emploi chez The Trade Desk, Qian Sang, chercheur chez Yahoo, a copié 570 000 pages de données confidentielles liées à l’algorithme publicitaire de l’entreprise. Yahoo a intenté trois poursuites judiciaires contre lui pour vol de propriété intellectuelle.

🔴 Stradis Healthcare (2020) : Sabotage d’un employé licencié en pleine pandémie
Après son licenciement, Christopher Dobbins, ancien vice-président de Stradis Healthcare, a utilisé un compte caché pour supprimer des données critiques des expéditions de matériel médical, retardant des livraisons essentielles aux hôpitaux. Il a été arrêté et condamné à 12 mois de prison.

Pourquoi ces menaces sont-elles difficiles à prévenir ?

Contrairement aux attaques externes, les entreprises ne peuvent pas simplement bloquer toutes les connexions venant de l’intérieur. Elles doivent faire confiance à leurs employés pour accomplir leur travail. Cela crée un dilemme : comment protéger les systèmes sans tomber dans la paranoïa et réduire la productivité ?

Certaines stratégies peuvent aider :

1. Principe du moindre privilège : Un employé ne devrait avoir accès qu’aux ressources dont il a réellement besoin.
2. Surveillance et détection comportementale : L’IA et le machine learning peuvent repérer des comportements suspects (accès inhabituels, modifications de fichiers critiques) qui peuvent être des signes de menaces internes.
3. Segmentation des accès : Éviter qu’un seul individu puisse causer des dommages majeurs en répartissant les responsabilités.
4. Gestion stricte des départs et des rétrogradations : Toujours surveiller l'activité d’un employé juste avant et après une annonce importante (licenciement, rétrogradation).

Conclusion : un danger sous-estimé mais évitable

Les menaces internes sont l’un des risques les plus sous-estimés en cybersécurité, mais avec des mesures adaptées, il est possible de réduire leur impact.

Et vous, avez-vous déjà rencontré ou entendu parler de cas similaires de menaces internes en entreprise ? Comment pensez-vous que les entreprises devraient gérer ce type de risques ? Partagez votre avis en commentaire !