Insider threat : le pirate de l’entreprise Capgemini n’était autre qu’un de ses employés.
✨✨ RECEVEZ LES INFOS DE LA SEMAINE ZATAZ, CHAQUE SAMEDI, PAR COURRIEL ! ✨✨
✨ Ne manquez rien ! Abonnez-vous dès maintenant et restez informé ! ✨
Un ingénieur de 26 ans, basé à Toulouse, a utilisé un ransomware connu sous le nom de Knight pour chiffrer certaines données sensibles de l’entreprise. Il a ensuite exigé une rançon de 5000 dollars en Bitcoin, menaçant de publier les informations volées sur le dark web si ses demandes n’étaient pas satisfaites.
Selon Capgemini, le pirate a été rapidement repéré et sa demande de rançon refusée. Le pirate était un employé !
Il a utilisé Knight, un logiciel de rançonnage qui a disparu de la circulation en février 2024.
L’impact initial a été suffisamment inquiétant pour déclencher une enquête approfondie menée par la Brigade de lutte contre la cybercriminalité (BL2C).
Au début de l’enquête, les autorités soupçonnaient une attaque provenant de l’extérieur, potentiellement orchestrée par des hackers russophones, une piste couramment explorée en cas d’attaques de ransomware. De nombreux pirates aiment laisser penser agir du côté de la Russie, de la Chine ou de la Corée du Nord. Cependant, les investigations n’ont pas abouti à cette hypothèse.
Six mois après le début de l’enquête, les indices ont finalement conduit les enquêteurs à l’ingénieur de Capgemini. L’homme avait pris soin de masquer son implication en faisant croire à une attaque externe, mais des traces laissées dans le code du ransomware (Sic!) et d’autres preuves numériques ont permis de remonter jusqu’à lui.
L’ingénieur a été arrêté en mai 2024 et placé en détention provisoire.
Cette révélation de malveillance interne est apparue au moment où Capgemini avait dû indiquer, quelques jours auparavant, ne pas avoir l’ambition de racheter Atos. Atos, l’un des gardiens cyber des JO Paris 2024.
Un cas de pirate professionnel rare comme celui de Capgemini ?
Malheureusement, non. Souvenez-vous, avant que le sujet ne devienne un effet de mode dans la presse et sur les réseaux sociaux, ZATAZ avait repéré un pirate proposant son savoir-faire de traducteur. Nous étions en 2021. Il travaillait pour un éditeur allemand.
En juin 2024, un ancien salarié, remercié par son ex-entreprise, a effacé les serveurs de la société. Il avait gardé ses accès, qui n’avaient pas été révoqués après son départ. En 2021, la ville d’Oldsmar (Floride) a été ciblée par une cyberattaque visant son système de traitement de l’eau. Cependant, après enquête, la faute était celle d’un employé. Sans parler de celui, expliqué par Silicon en 2017, piratant son patron pour gonfler ses heures de travail. D’autres exemples existent.
Sans oublier, malheureusement, les employés piratés, servant sans le savoir de chevaux de Troie pour des malveillances facilitées, comme ce fut le cas pour France Travail (ex-Pôle Emploi).
✨✨ RECEVEZ LES INFOS DE LA SEMAINE ZATAZ, CHAQUE SAMEDI, PAR COURRIEL ! ✨✨
✨ Ne manquez rien ! Abonnez-vous dès maintenant et restez informé ! ✨
Les indices d’une malveillance interne
Les comptes utilisateurs des anciens salariés, non effacés, représentent des risques majeurs. Ces comptes inactifs peuvent permettre à d’anciens employés curieux ou malveillants d’accéder aux informations internes. Il est crucial de désactiver ces comptes pour éviter tout accès non autorisé et protéger les données sensibles.
Des accès ou des manipulations du système d’information pendant la nuit ou le week-end peuvent indiquer une activité suspecte. Même si certains collaborateurs travaillent en dehors des heures normales, une surveillance attentive est nécessaire pour détecter des actions non conformes aux habitudes de travail habituelles. Il se peut qu’un ex-collaborateur utilise le compte de quelqu’un d’autre ou qu’un employé interne tente de se dissimuler.
Un employé qui consulte ou copie des données non liées à son travail peut indiquer une intention malveillante. Les salariés malveillants essaient de passer inaperçus en copiant ou supprimant des fichiers un par un. De plus, ceux ayant accès aux e-mails d’autres collaborateurs pourraient effacer les traces de leur surveillance en marquant les messages comme « non lus ».
Lorsque des employés quittent l’entreprise, ils peuvent essayer de sauvegarder ou d’imprimer une grande quantité de fichiers sous prétexte qu’ils en sont les propriétaires. Cependant, leur objectif pourrait être de vendre ces informations à des concurrents pour en tirer profit.
Même sans actes malveillants de la part des collaborateurs actuels ou anciens, les identifiants de ces derniers peuvent être ciblés par des cybercriminels. Il est donc essentiel de protéger les informations sensibles comme la propriété intellectuelle, la liste des clients, et d’autres données cruciales. Le Service Veille ZATAZ découvre, chaque jour pour ses clients, des dizaines de données d’entreprises (personnelles ou professionnelles) dans les mains de pirates informatiques. Pour se protéger, voici quelques recommandations simples :
- Verrouiller et protéger toutes les informations sensibles
- Mettre en place des règles de bonne conduite : interdire l’utilisation de comptes mails personnels sur les postes de travail et encourager les témoignages d’incidents
- Cultiver un environnement de confiance où les employés se sentent à l’aise de signaler immédiatement toute activité suspecte, comme le clic sur un phishing
- Révoquer les comptes des anciens employés, des stagiaires, etc., dans l’heure de leur départ
- Etc.
