Un employé de la filière IT mécontent de son licenciement a pris la décision de supprimer 180 serveurs virtuels de son entreprise en représailles. Les dommages sont estimés à 650 mille dollars. Le cas qui n’est pas isolé dans la filière IT soulève la question de la gestion des accès en entreprise. Entre novembre 2021 et octobre 2022, Kandula a fait partie d'une équipe de 20 personnes chargée de gérer le système informatique d'assurance qualité (QA) de NCS. NCS est une entreprise qui offre des services dans le domaine des technologies de l'information et de la communication. Le système géré par l'ancienne équipe de Kandula était utilisé pour tester les nouveaux logiciels et programmes avant leur lancement.
Ce dernier s’appuyait sur environ 180 serveurs virtuels, sur lesquels aucune information sensible n'était stockée. Après la fin du contrat de Kandula et son retour en Inde, il a utilisé son ordinateur portable pour obtenir un accès non autorisé au système en utilisant les identifiants de connexion de l'administrateur. Il l'a fait à six reprises entre le 6 et le 17 janvier 2023.
En février de la même année, Kandula est retourné à Singapour après avoir trouvé un nouvel emploi. Il a loué une chambre chez un ancien collègue et a utilisé son réseau Wi-Fi pour accéder au système de son ancienne entreprise une fois, le 23 février 2023. Au cours dudit accès non autorisé, il a écrit des scripts informatiques pour tester s'ils pouvaient être utilisés sur le système pour supprimer les serveurs.
En mars 2023, il a accédé 13 fois au système d'assurance qualité du SOC. Les 18 et 19 mars, il a exécuté un script programmé pour supprimer 180 serveurs virtuels dans le système. Son script a été écrit de manière à supprimer les serveurs un par un.
Le lendemain, l'équipe de son ancienne entreprise s'est rendu compte que le système était inaccessible et a tenté de le dépanner, mais en vain. Ils ont découvert que les serveurs avaient été supprimés.
Le 11 avril 2023, un rapport de police a été établi et plusieurs adresses IP découvertes lors d'enquêtes internes ont été remises à la police. L'ordinateur portable de Kandula a été saisi par la police et le script utilisé pour effectuer les suppressions y a été trouvé.
Les investigations ont révélé qu'il avait recherché sur Google des scripts permettant de supprimer des serveurs virtuels, qu'il avait ensuite utilisés pour coder le script. À tout moment, il savait, après la fin de son emploi chez NCS, qu'il n'était pas autorisé à accéder au système.
Un tableau qui refait surface de temps en temps dans la filière ITUpset that he was fired, Kandula Nagaraju hacked into his former company’s computer systems and deleted 180 virtual servers, costing them about $918,000 https://t.co/wsuNOWiTNg pic.twitter.com/k3VfzZD6iq
— 🇺🇦 زهراء 🇺🇦 (@___xZ___zara) June 11, 2024
Une société britannique a de même accusé un ex-employé d’avoir supprimé une grande partie de ses données par le passé. La société du nom de Voova est une entreprise informatique britannique qui fournit à d’autres entreprises des services Web tel que des applications et sites Web et d’autres services de gestion. Voova a accusé son ex-employé d’avoir usurpé l’identité de l’un de ses anciens collègues pour pirater et supprimer des données de l’entreprise d’une valeur totale avoisinant un demi-million de livres. L’accusé Steffan Needham, âgé de 35 ans, est un ex-employé de Voova. Selon les informations citées par l’entreprise, celui-ci aurait travaillé chez elle pendant 4 semaines environ en tant que consultant informatique avant d’être renvoyé pour raison d’incompétence.
« Needham a été libéré de son contrat avec Voova pour performance inférieure à la normale », a déclaré au tribunal Richard Moss, le procureur chargé de l’affaire. Des propos de l’entreprise qui n’aurait pas plu à Needham ? On ne saurait répondre à cette question avec certitude. Les faits remonteraient à mai 2016. Après une période d’essai, l’entreprise a congédié Steffan Needham. Quelques mois plus tard, l’entreprise l’a accusé d’avoir supprimé une partie importante de ses données stockées sur ses serveurs AWS. Une expérience qui n’aurait pas laissé indifférent l’intéressé ? « Steffan Needham aigri a ciblé Amazon Web Services, qui stockait les données techniques de la société de logiciels Voova à l'issue d'un essai d'un mois effectué au début 2016 dans cette société », a déclaré la Reading Crown Court.
Pour les chefs d’accusation émis contre lui, Steffan Needham a plaidé non coupable. Son infiltration dans les systèmes de l’entreprise a valu à cette dernière une perte de données d’une valeur chiffrée à cinq cent mille livres, mais également une perte de clients importants pour l’entreprise et une vague de licenciements de certains employés. À la question de savoir comment il a procédé, les enquêteurs ont indiqué qu’il a utilisé les identifiants de connexion de l’un de ses anciens collègues afin d’accéder aux données. Le tribunal a déclaré qu’en mai 2016, Steffan Needham a piraté le journal de son collègue Andy Gonzalez portant le pseudo de “speedy” pour accéder à son compte. Il a ensuite modifié le mot de passe de l’intéressé pour sécuriser le compte. Ce qui lui a permis de cibler les serveurs de données avant de procéder à leur suppression. Avait-il voulu se venger de l’entreprise ?
L’une des preuves qu’a avancée Voova est que l’adresse IP de la machine utilisée par Steffan Needham a pu être tracée. En effet, la cour a indiqué que l’adresse IP qui a été utilisée pour atteindre les serveurs AWS de l’entreprise via le compte de Gonzalez revenait à une entreprise du nom de Metronet, un revendeur britannique de connectivité et de services cloud basé à Manchester. D’après les déclarations de la cour, un des clients de Metronet est une autre entreprise connue sous le nom de Valtech. C’est pour ce dernier que l’accusé travaillait au moment des faits en 2016. Cela dit, tous les experts ne semblent pas s’accorder sur le sujet. La question qui les divise est celle qui demande à savoir si la preuve présentée témoigne effectivement de l’implication de l’accusé.
Néanmoins, tous s’attellent à dire que la sécurité chez Voova laisse à désirer. Ils s'accordent à dire que la sécurité des comptes d’accès aux serveurs aurait pu être meilleure. Il n'y avait pas d'authentification multifactorielle, un moyen de confirmer l'ID utilisateur qui exige qu'un utilisateur vérifie son identification par quelque chose qu'il sait ou possède. Steffan est-il réellement coupable de ce dont on l'accuse ? Pour l’heure, la juge Sarah Campbell siégeant à la Reading Crown Court et le jury ont déclaré Steffan Needham coupable à deux des chefs d’accusation retenus contre lui. Needham, d’Atherton, à Manchester, a été inculpé d’un chef d’accès non autorisé à du matériel informatique et d’un chef de modification non autorisée de ce matériel. Il a été condamné à deux ans de prison, mais selon les lois en vigueur sur la détermination de la peine, il ne devrait pas passer plus de 12 mois en prison.
Et vous ?
Seriez-vous capable d’arriver à de tels extrêmes après un licenciement ? Quelles sont les mesures que les entreprises peuvent prendre en matière de gestion des accès pour éviter que ce type de situations ne se produisent ? 
