Capgemini piratée par l’un de ses employés

Posted On 29 Juil 2024

Tag: entreprise, infiltration, salarié malveillant

Insider threat : le pirate de l’entreprise Capgemini n’était autre qu’un de ses employés. Faut-il devenir paranoïaque avec les nouveaux embauchés ?

✨✨ RECEVEZ LES INFOS DE LA SEMAINE ZATAZ, CHAQUE SAMEDI, PAR COURRIEL ! ✨✨
✨ Ne manquez rien ! Abonnez-vous dès maintenant et restez informé ! ✨

Un ingénieur de 26 ans, basé à Toulouse, a utilisé un ransomware connu sous le nom de Knight pour chiffrer certaines données sensibles de l’entreprise. Il a ensuite exigé une rançon de 5000 dollars en Bitcoin, menaçant de publier les informations volées sur le dark web si ses demandes n’étaient pas satisfaites.

Selon Capgemini, le pirate a été rapidement repéré et sa demande de rançon refusée. Le pirate était un employé !

Il a utilisé Knight, un logiciel de rançonnage qui a disparu de la circulation en février 2024.

L’impact initial a été suffisamment inquiétant pour déclencher une enquête approfondie menée par la Brigade de lutte contre la cybercriminalité (BL2C).

Au début de l’enquête, les autorités soupçonnaient une attaque provenant de l’extérieur, potentiellement orchestrée par des hackers russophones, une piste couramment explorée en cas d’attaques de ransomware. De nombreux pirates aiment laisser penser agir du côté de la Russie, de la Chine ou de la Corée du Nord. Cependant, les investigations n’ont pas abouti à cette hypothèse.

Six mois après le début de l’enquête, les indices ont finalement conduit les enquêteurs à l’ingénieur de Capgemini. L’homme avait pris soin de masquer son implication en faisant croire à une attaque externe, mais des traces laissées dans le code du ransomware (Sic!) et d’autres preuves numériques ont permis de remonter jusqu’à lui.

L’ingénieur a été arrêté en mai 2024 et placé en détention provisoire comme l’explique 01Net.

Cette révélation de malveillance interne est apparue au moment où Capgemini avait dû indiquer, quelques jours auparavant, ne pas avoir l’ambition de racheter Atos. Atos, l’un des gardiens cyber des JO Paris 2024.

Un cas de pirate professionnel rare comme celui de Capgemini ?

Malheureusement, non. Souvenez-vous, avant que le sujet ne devienne un effet de mode dans la presse et sur les réseaux sociaux, ZATAZ avait repéré un pirate proposant son savoir-faire de traducteur. Nous étions en 2021. Il travaillait pour un éditeur allemand.

En juin 2024, un ancien salarié, remercié par son ex-entreprise, a effacé les serveurs de la société. Il avait gardé ses accès, qui n’avaient pas été révoqués après son départ. En 2021, la ville d’Oldsmar (Floride) a été ciblée par une cyberattaque visant son système de traitement de l’eau. Cependant, après enquête, la faute était celle d’un employé. Sans parler de celui, expliqué par Silicon en 2017, piratant son patron pour gonfler ses heures de travail. D’autres exemples existent.

Sans oublier, malheureusement, les employés piratés, servant sans le savoir de chevaux de Troie pour des malveillances facilitées, comme ce fut le cas pour France Travail (ex-Pôle Emploi).

✨✨ RECEVEZ LES INFOS DE LA SEMAINE ZATAZ, CHAQUE SAMEDI, PAR COURRIEL ! ✨✨
✨ Ne manquez rien ! Abonnez-vous dès maintenant et restez informé ! ✨

Les indices d’une malveillance interne

Les comptes utilisateurs des anciens salariés, non effacés, représentent des risques majeurs. Ces comptes inactifs peuvent permettre à d’anciens employés curieux ou malveillants d’accéder aux informations internes. Il est crucial de désactiver ces comptes pour éviter tout accès non autorisé et protéger les données sensibles.

Des accès ou des manipulations du système d’information pendant la nuit ou le week-end peuvent indiquer une activité suspecte. Même si certains collaborateurs travaillent en dehors des heures normales, une surveillance attentive est nécessaire pour détecter des actions non conformes aux habitudes de travail habituelles. Il se peut qu’un ex-collaborateur utilise le compte de quelqu’un d’autre ou qu’un employé interne tente de se dissimuler.

Un employé qui consulte ou copie des données non liées à son travail peut indiquer une intention malveillante. Les salariés malveillants essaient de passer inaperçus en copiant ou supprimant des fichiers un par un. De plus, ceux ayant accès aux e-mails d’autres collaborateurs pourraient effacer les traces de leur surveillance en marquant les messages comme « non lus ».

Lorsque des employés quittent l’entreprise, ils peuvent essayer de sauvegarder ou d’imprimer une grande quantité de fichiers sous prétexte qu’ils en sont les propriétaires. Cependant, leur objectif pourrait être de vendre ces informations à des concurrents pour en tirer profit.

Même sans actes malveillants de la part des collaborateurs actuels ou anciens, les identifiants de ces derniers peuvent être ciblés par des cybercriminels. Il est donc essentiel de protéger les informations sensibles comme la propriété intellectuelle, la liste des clients, et d’autres données cruciales. Le Service Veille ZATAZ découvre, chaque jour pour ses clients, des dizaines de données d’entreprises (personnelles ou professionnelles) dans les mains de pirates informatiques. Pour se protéger, voici quelques recommandations simples :

Verrouiller et protéger toutes les informations sensibles
Mettre en place des règles de bonne conduite : interdire l’utilisation de comptes mails personnels sur les postes de travail et encourager les témoignages d’incidents
Cultiver un environnement de confiance où les employés se sentent à l’aise de signaler immédiatement toute activité suspecte, comme le clic sur un phishing
Révoquer les comptes des anciens employés, des stagiaires, etc., dans l’heure de leur départ
Etc.

Aux USA, un pirate Nord Coréen

Un hacker nord-coréen, utilisant l’identité d’un développeur sud-coréen, a réussi à se faire embaucher comme ingénieur logiciel dans une entreprise américaine de cybersécurité, KnowBe4. Exploitant ses compétences, il a infiltré la société pour accéder à des informations sensibles et stratégiques. L’individu a passé les vérifications de sécurité grâce à une fausse identité et des références truquées, démontrant ainsi une faille critique dans le processus de recrutement de l’entreprise. L’enquête a révélé que ce type d’infiltration n’était pas un cas isolé, et fait partie d’une stratégie plus large de la Corée du Nord pour obtenir des devises étrangères et des informations sensibles via des activités cybercriminelles sophistiquées. « Aucun accès illégal n’a été obtenu et aucune donnée n’a été perdue, compromise ou exfiltrée sur aucun système KnowBe4. Il ne s’agit pas d’une notification de violation de données, il n’y en a pas eu. Considérez-le comme un moment d’apprentissage organisationnel que je partage avec vous. Si cela peut nous arriver, cela peut arriver à presque tout le monde. » indique la société.

Comme pour le cas Tesla, en 2022, le pirate a mis les moyens d’arriver à ses ambitions malveillantes. KnowBe4 avait besoin d’un ingénieur logiciel pour son équipe interne d’IA informatique. Ils ont publié une offre d’emploi, reçu des CV, mené des entretiens, effectué des vérifications d’antécédents, vérifié les références et embauché la personne. L’équipe RH a mené quatre entretiens par vidéoconférence à des occasions distinctes, confirmant que la personne correspondait à la photo fournie dans sa candidature. De plus, une vérification des antécédents et toutes les autres vérifications standard préalables à l’embauche ont été effectuées et se sont révélées sans erreur en raison de l’utilisation de l’identité volée. Il s’agissait d’une vraie personne utilisant une identité valide mais volée basée aux États-Unis. La photo était « améliorée » par l’IA.

« Nous leur avons envoyé leur poste de travail Mac« , et dès qu’il a été reçu, le vrai-faux employé a immédiatement commencé à charger des logiciels malveillants.

Le logiciel EDR va détecter et a alerter le centre d’opérations de sécurité. Le SOC a appelé le nouvel employé et lui a demandé s’il pouvait l’aider. C’est à ce moment-là que les choses ont rapidement dégénéré. Il s’est avéré qu’il s’agissait d’un faux informaticien de Corée du Nord. Selon les informations de ZATAZ, le FBI travaille toujours sur le sujet.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.