Un hacker de 25 ans a plaidé coupable d’une intrusion informatique chez Disney, révélant une attaque bien moins idéologique qu’elle ne le prétendait.
L’été 2024 aura laissé une trace amère chez Disney. Alors que l’entreprise déployait ses projets les plus ambitieux dans le domaine de l’intelligence artificielle et du divertissement numérique, une faille béante s’est ouverte dans sa cybersécurité. Ryan Mitchell Kramer, un Californien de 25 ans, vient d’avouer être l’auteur d’une cyberattaque de grande ampleur, infiltrant les canaux internes de communication de Disney via Slack, dérobant plus d’un téraoctet de données sensibles, avant de menacer et d’exposer l’identité d’un salarié. Ce qui semblait, au départ, être une offensive idéologique pour la défense des artistes, s’est rapidement révélé n’être qu’un acte de cybercriminalité opportuniste, maquillé sous une bannière militante.
Kramer n’est pas un nom connu dans les cercles des hackers les plus influents. Jusqu’à cette attaque, il n’avait jamais fait les gros titres. Pourtant, en se faisant passer pour un membre d’un groupe inconnu appelé « NullBulge« , il a trompé l’un des géants mondiaux du divertissement. Selon le ministère américain de la Justice, l’attaque débute avec la diffusion d’un faux outil de génération artistique par intelligence artificielle, partagé via des plateformes aussi populaires que GitHub ou Hugging Face. Présenté comme un outil révolutionnaire, le logiciel est en réalité un piège : un code malveillant qui s’installe discrètement sur les appareils des utilisateurs.
C’est ainsi qu’un salarié de Disney, en quête d’un outil IA innovant pour ses projets personnels, télécharge le logiciel sur son ordinateur personnel. Cet acte, anodin en apparence, va servir de point d’accès à Kramer pour s’introduire dans les systèmes internes de Disney, en particulier leur environnement Slack. De fil en aiguille, il accède à plusieurs canaux confidentiels de l’entreprise, découvrant des trésors d’informations : messages internes, projets en développement non publiés, identifiants et mots de passe, mais aussi du code source hautement sensible.
Kramer s’est engouffré dans une faille humaine, exploitant la curiosité technologique d’un salarié pour déclencher une tempête numérique.
Une fois à l’intérieur, Kramer adopte la posture du justicier numérique. Il revendique l’opération au nom de NullBulge, un groupe qui se présente comme défenseur des droits des artistes et militant pour des salaires équitables dans l’industrie du divertissement. Sauf qu’il ne s’agit pas d’un acte militant, mais d’un piratage informatique classique. Kramer n’a ni cible idéologique claire, ni revendication structurée. Il distribue des outils contaminés à grande échelle, cible au hasard et agit seul.
Le point de rupture intervient lorsque Kramer tente de faire chanter l’employé de Disney par lequel il est entré. Il menace de divulguer des données personnelles si celui-ci ne répond pas à ses exigences. Face à l’absence de réaction, il exécute sa menace : les informations personnelles de l’employé, ainsi que des données de l’entreprise, sont publiées en ligne. Comme ZATAZ vous l’avez indiqué à l’époque. Les informations volées avaient été diffusées sur NullBulge.se, mais aussi, une vraie envie de nuire [ou de gagner de l’argent], sur BreachForums.
C’est le signal d’alarme pour Disney, qui lance immédiatement une enquête interne et interrompt l’usage de Slack dans ses communications internes.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
La cyberattaque a révélé la vulnérabilité des grandes entreprises face à des menaces qui empruntent les codes du militantisme pour mieux dissimuler des actes de piratage.
Mais l’affaire ne s’arrête pas là. L’employé concerné, accusé d’avoir enfreint la politique de sécurité de Disney en installant un logiciel non autorisé, est licencié. Il poursuit alors Disney pour licenciement abusif, une action en justice qui pose une question délicate sur la responsabilité individuelle face aux failles systémiques de cybersécurité. Est-il raisonnable de faire peser tout le poids d’une attaque sur un seul individu, alors que les systèmes de l’entreprise n’étaient pas cloisonnés ni suffisamment protégés contre ce type d’intrusion ?
De son côté, Kramer reconnaît les faits. Il admet également avoir piraté au moins deux autres victimes, dont les identités n’ont pas été révélées par les autorités. Il est inculpé de deux chefs d’accusation criminels, chacun passible de cinq ans de prison, ce qui porte sa peine maximale à dix ans. Les experts en sécurité l’associent désormais à une mouvance croissante de pirates informatiques qui utilisent l’intelligence artificielle et la notoriété de plateformes ouvertes pour distribuer du malware à grande échelle.
L’affaire prend un relief particulier alors que Disney, quelques semaines plus tôt, avait déjà été confronté à un autre incident de cybersécurité. Un ancien employé de Disney World a été condamné à trois ans de prison pour avoir tenté de manipuler les serveurs internes de l’entreprise et d’altérer des menus numériques. Cette succession d’incidents montre que, même pour des géants de la technologie et du divertissement, la menace cyber est constante, multiforme et souvent alimentée par des erreurs humaines plus que par des brèches technologiques.
Dans le cas de Kramer, l’usage de plateformes comme Hugging Face — réputée pour héberger des modèles d’intelligence artificielle — met en lumière une tendance inquiétante. Les hackers profitent de la popularité des outils open source et de la communauté qui les entoure pour camoufler des logiciels malveillants sous une couche de légitimité technique. Une fois téléchargés, ces outils contiennent des scripts capables de prendre le contrôle des systèmes, de siphonner les données, et d’initier des campagnes de rançonnage ou de diffusion.
Le volet judiciaire de l’affaire pourrait bien marquer un tournant dans la manière dont la justice américaine qualifie et traite les cybercrimes déguisés en actes militants. Le fait que Kramer ait tenté de se faire passer pour un (H)activiste, tout en agissant comme un escroc numérique, remet en question la capacité des institutions à différencier la véritable cyber militance de la criminalité. Pour être très honnête, en trente ans d’existence, ZATAZ a vu passer huit pirates sur dix qui, une fois arrêtés, hurlaient à qui voulait l’entendre qu’ils étaient des « lanceurs d’alerte »… alors qu’ils n’étaient rien d’autre que de simples opportunistes.
L’industrie du divertissement, quant à elle, est plus que jamais dans le viseur. Détenant des bases de données gigantesques, des projets créatifs stratégiques et une forte exposition médiatique, des entreprises comme Disney deviennent des cibles privilégiées pour les cyberattaquants en quête de profits, de notoriété, ou d’un simple coup d’éclat. Et même si elles disposent d’équipes de sécurité informatiques trés robustes, leur dépendance croissante à des outils collaboratifs comme Slack ou à l’usage personnel de l’IA crée autant de points d’entrée potentiels que de collaborateurs.
Alors que la sentence de Kramer doit être prononcée dans les mois à venir, l’affaire soulève une question brûlante pour toutes les entreprises du secteur : comment concilier innovation technologique et vigilance sécuritaire dans un environnement numérique où les frontières entre militantisme, piratage et ingénierie sociale sont de plus en plus floues ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
